Google Chrome erhält eine neue Sicherheitsmaßnahme, die das „Tab-Napping“ eindämmt, indem Weiterleitungen in neuen Tabs oder Fenstern blockiert werden.
Möglicherweise haben Sie beim Klicken auf Links auf einer Website eines von zwei Verhaltensweisen beobachtet: Der Link wird entweder im selben Tab oder in einem neuen Tab/Fenster geöffnet. Website-Autoren können dieses Verhalten steuern, indem sie Folgendes hinzufügen target="_blank" Attribut zu URLs hinzufügen, die sie in einem neuen Tab öffnen möchten. Dieses Attribut weist den Browser an, den Link beim Klicken in einem neuen Tab zu öffnen. Aber das Attribut hat eine Bekanntes Sicherheitsproblem Dadurch können neu geöffnete Seiten JavaScript verwenden, um Sie zu einer anderen URL weiterzuleiten. Dies stellt eine ernsthafte Bedrohung dar, da es sich bei der umgeleiteten URL möglicherweise um eine mit Malware beladene Website oder eine Phishing-Seite handeln könnte. Um dieses Problem zu beheben, erhält Google Chrome eine neue Sicherheitsmaßnahme.
Wie aus einem aktuellen Bericht von hervorgeht BleepingComputer erklärt, können Website-Autoren bereits verhindern, dass neue Tabs JavaScript verwenden, um auf eine andere URL umzuleiten, indem sie die verwenden rel="noopener" HTML-Link-Attribut. Sie müssen das Attribut jedoch manuell zu jedem Link mit dem Attribut target="_blank" hinzufügen. Im Jahr 2018, Apple eine Änderung vorgenommen in Safari, das automatisch das noopener-Attribut auf HTML-Links implizierte, die target="_blank" verwendeten. Dadurch hat der Browser neue Tabs automatisch gesichert, auch wenn der Autor das Attribut rel="noopener" nicht verwendet hat. Letzte Woche hat Microsoft Edge-Entwickler Eric Lawrence habe die gleiche Funktion implementiert in Chrom. Das bedeutet, dass es auch in allen Chromium-basierten Browsern wie Microsoft Edge, Google Chrome, Brave und mehr eingeführt wird.
In einem Kommentar zur Sicherheitsmaßnahme erklärte Lawrence:
„Um „Tab-Napping“-Angriffe abzuschwächen, bei denen ein neuer Tab/ein neues Fenster, das von einem Opferkontext geöffnet wird, durch diesen Öffner navigieren kann Kontext wurde der HTML-Standard geändert, um anzugeben, dass sich Anker, die target_blank sind, so verhalten sollten, als ob |rel="noopener"| Ist Satz. Eine Seite, die dieses Verhalten deaktivieren möchte, kann |rel="opener"| festlegen.
Die neue Sicherheitsmaßnahme ist derzeit im Chrome Canary-Kanal aktiviert und wird voraussichtlich im Januar nächsten Jahres mit Chrome 88 in den stabilen Kanal gelangen. Wie bereits erwähnt, impliziert die Funktion im Wesentlichen das „noopener“-Attribut für HTML-Links, die es verwenden target="_blank" und verhindert, dass Seiten JavaScript verwenden, um auf eine neue Seite umzuleiten, sofern nicht anders angegeben ansonsten.
Diese neue Sicherheitsmaßnahme kommt nur wenige Tage, nachdem Google zwei Zero-Day-Schwachstellen in Chrome behoben hat. Weitere Informationen zu diesen Sicherheitslücken finden Sie im Folgenden dieser Link.