Το Google Chrome λαμβάνει ένα νέο μέτρο ασφαλείας που θα μετριάσει το "tab-napping" αποκλείοντας τις ανακατευθύνσεις σε νέες καρτέλες ή παράθυρα.
Μπορεί να έχετε παρατηρήσει μία από τις δύο συμπεριφορές όταν κάνετε κλικ σε συνδέσμους σε οποιονδήποτε ιστότοπο — ο σύνδεσμος είτε ανοίγει στην ίδια καρτέλα είτε ανοίγει σε νέα καρτέλα/παράθυρο. Οι συντάκτες του ιστότοπου μπορούν να ελέγξουν αυτήν τη συμπεριφορά προσθέτοντας το target="_blank" αποδίδουν στις διευθύνσεις URL που επιθυμούν να ανοίξουν σε μια νέα καρτέλα. Αυτό το χαρακτηριστικό καθοδηγεί το πρόγραμμα περιήγησης να ανοίξει τον σύνδεσμο σε μια νέα καρτέλα όταν γίνει κλικ. Αλλά η ιδιότητα έχει α γνωστό θέμα ασφαλείας που επιτρέπει στις σελίδες που ανοίγουν πρόσφατα να χρησιμοποιούν JavaScript για να σας ανακατευθύνουν σε διαφορετική διεύθυνση URL. Αυτό αποτελεί σοβαρή απειλή, καθώς η ανακατευθυνόμενη διεύθυνση URL θα μπορούσε ενδεχομένως να είναι ένας ιστότοπος με κακόβουλο λογισμικό ή μια σελίδα phishing. Για να αντιμετωπίσει αυτό το πρόβλημα, το Google Chrome λαμβάνει ένα νέο μέτρο ασφαλείας.
Όπως μια πρόσφατη αναφορά από BleepingComputer εξηγεί, οι συντάκτες ιστοτόπων μπορούν ήδη να αποτρέψουν νέες καρτέλες από τη χρήση JavaScript για ανακατεύθυνση σε διαφορετική διεύθυνση URL χρησιμοποιώντας το rel="noopener" Χαρακτηριστικό σύνδεσης HTML. Ωστόσο, πρέπει να προσθέσουν μη αυτόματα το χαρακτηριστικό σε κάθε σύνδεσμο με το χαρακτηριστικό target="_blank". Πίσω στο 2018, η Apple έκανε μια αλλαγή στο Safari που υπονοούσε αυτόματα το χαρακτηριστικό noopener σε συνδέσμους HTML που χρησιμοποιούσαν target="_blank". Χάρη σε αυτό, το πρόγραμμα περιήγησης εξασφάλισε αυτόματα νέες καρτέλες ακόμα κι αν ο συγγραφέας δεν χρησιμοποιούσε το χαρακτηριστικό rel="noopener". Την περασμένη εβδομάδα, ο προγραμματιστής του Microsoft Edge Eric Lawrence εφάρμοσε το ίδιο χαρακτηριστικό στο Chromium. Αυτό σημαίνει ότι θα εισαχθεί επίσης σε όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium, όπως το Microsoft Edge, το Google Chrome, το Brave και άλλα.
Σε σχόλιο σχετικά με το μέτρο ασφαλείας, ο Λόρενς δήλωσε:
"Για να μετριαστούν οι επιθέσεις "tab-napping", στις οποίες μια νέα καρτέλα/παράθυρο που ανοίγει από ένα περιβάλλον θύματος μπορεί να πλοηγηθεί σε αυτό το άνοιγμα πλαίσιο, το πρότυπο HTML άλλαξε για να ορίσει ότι οι αγκυρώσεις που target_blank θα πρέπει να συμπεριφέρονται σαν |rel="noopener"| είναι σειρά. Μια σελίδα που επιθυμεί να εξαιρεθεί από αυτήν τη συμπεριφορά μπορεί να ορίσει |rel="opener"|."
Το νέο μέτρο ασφαλείας είναι επί του παρόντος ενεργοποιημένο στο κανάλι Chrome Canary και αναμένεται να φτάσει στο σταθερό κανάλι με το Chrome 88 τον Ιανουάριο του επόμενου έτους. Όπως αναφέρθηκε προηγουμένως, το χαρακτηριστικό θα υποδηλώνει ουσιαστικά το χαρακτηριστικό "noopener" σε συνδέσμους HTML που χρησιμοποιούν target="_blank" και αποτρέψτε τις σελίδες από τη χρήση JavaScript για ανακατεύθυνση σε μια νέα σελίδα, εκτός εάν ορίζεται σε διαφορετική περίπτωση.
Αυτό το νέο μέτρο ασφαλείας έρχεται λίγες μέρες αφότου η Google επιδιορθώνει δύο ευπάθειες zero-day στο Chrome. Μπορείτε να διαβάσετε περισσότερα για αυτά τα τρωτά σημεία ακολουθώντας αυτός ο σύνδεσμος.