Prohlížeč Google Chrome dostává nové bezpečnostní opatření, které zmírní „uchopení tabulátoru“ blokováním přesměrování na nových kartách nebo oknech.
Možná jste zaznamenali jedno ze dvou chování při kliknutí na odkazy na libovolné webové stránce – odkaz se buď otevře na stejné kartě, nebo se otevře v nové kartě/okně. Autoři webových stránek mohou toto chování ovládat přidáním target="_blank" atribut k adresám URL, které chtějí otevřít na nové kartě. Tento atribut přikazuje prohlížeči, aby po kliknutí otevřel odkaz na nové kartě. Ale atribut má a známý bezpečnostní problém který umožňuje nově otevřeným stránkám využívat JavaScript k přesměrování na jinou adresu URL. To představuje vážnou hrozbu, protože přesměrovaná adresa URL může být webová stránka s malwarem nebo phishingová stránka. Aby se to vyřešilo, Google Chrome dostává nové bezpečnostní opatření.
Jako nedávná zpráva z BleepingComputer vysvětluje, že autoři webových stránek již mohou zabránit novým kartám v používání JavaScriptu k přesměrování na jinou adresu URL pomocí
rel="noopener" Atribut odkazu HTML. Musí však ručně přidat atribut ke každému odkazu s atributem target="_blank". V roce 2018, Apple udělal změnu v Safari, který automaticky implikoval atribut noopener u odkazů HTML, které využívaly target="_blank". Díky tomu prohlížeč automaticky zabezpečil nové karty, i když autor nepoužil atribut rel="noopener". Minulý týden vývojář Microsoft Edge Eric Lawrence implementoval stejnou funkci v Chromu. To znamená, že bude také zaveden ve všech prohlížečích založených na Chromiu, jako je Microsoft Edge, Google Chrome, Brave a další.V komentáři k bezpečnostnímu opatření Lawrence uvedl:
„Pro zmírnění útoků typu „tab-napping“, kdy nová karta/okno otevřené kontextem oběti může navigovat tento otvírač kontextu se změnil standard HTML tak, aby specifikoval, že kotvy, které cíl_blank by se měly chovat jako |rel="noopener"| je soubor. Stránka, která se chce z tohoto chování odhlásit, může nastavit |rel="opener"|."
Nové bezpečnostní opatření je aktuálně povoleno v kanálu Chrome Canary a očekává se, že se dostane do stabilního kanálu s Chrome 88 v lednu příštího roku. Jak již bylo zmíněno dříve, tato funkce bude v podstatě implikovat atribut „noopener“ u odkazů HTML, které využívají target="_blank" a zabránit stránkám v používání JavaScriptu k přesměrování na novou stránku, pokud není uvedeno jinak v opačném případě.
Toto nové bezpečnostní opatření přichází jen několik dní poté, co Google opravil dvě zranitelnosti nultého dne v prohlížeči Chrome. Více o těchto zranitelnostech si můžete přečíst následujícím způsobem tento odkaz.