Google Chrome está obteniendo una nueva medida de seguridad que mitigará la "siesta de pestañas" al bloquear las redirecciones en nuevas pestañas o ventanas.
Es posible que haya observado uno de dos comportamientos al hacer clic en enlaces en cualquier sitio web: el enlace se abre en la misma pestaña o se abre en una nueva pestaña/ventana. Los autores de sitios web pueden controlar este comportamiento agregando el objetivo="_en blanco" atribuir a las URL que desean abrir en una nueva pestaña. Este atributo indica al navegador que abra el enlace en una nueva pestaña cuando se hace clic en él. Pero el atributo tiene un problema de seguridad conocido que permite que las páginas recién abiertas utilicen JavaScript para redirigirlo a una URL diferente. Esto supone una grave amenaza, ya que la URL redirigida podría ser un sitio web cargado de malware o una página de phishing. Para solucionar esto, Google Chrome está obteniendo una nueva medida de seguridad.
Como un informe reciente de pitidocomputadora
Como explica, los autores de sitios web ya pueden evitar que las nuevas pestañas utilicen JavaScript para redirigir a una URL diferente mediante el uso de rel="sin abrir" Atributo de enlace HTML. Sin embargo, deben agregar manualmente el atributo a cada enlace con el atributo target="_blank". En 2018, Apple hizo un cambio en Safari que automáticamente implicaba el atributo noopener en enlaces HTML que utilizaban target="_blank". Gracias a esto, el navegador protegió automáticamente las nuevas pestañas incluso si el autor no utilizó el atributo rel="noopener". La semana pasada, el desarrollador de Microsoft Edge, Eric Lawrence implementó la misma característica en Cromo. Esto significa que también se introducirá en todos los navegadores basados en Chromium, como Microsoft Edge, Google Chrome, Brave y más.En un comentario sobre la medida de seguridad, Lawrence afirmó:
"Para mitigar los ataques de "siesta de pestañas", en los que una nueva pestaña/ventana abierta por un contexto de víctima puede navegar por ese abridor. En este contexto, el estándar HTML cambió para especificar que los anclajes target_blank deben comportarse como si |rel="noopener"| es colocar. Una página que desee excluirse de este comportamiento puede establecer |rel="opener"|."
La nueva medida de seguridad está actualmente habilitada en el canal Chrome Canary y se espera que llegue al canal estable con Chrome 88 en enero del próximo año. Como se mencionó anteriormente, la característica esencialmente implicará el atributo "noopener" en los enlaces HTML que utilizan target="_blank" y evitar que las páginas utilicen JavaScript para redirigir a una nueva página, a menos que se especifique de lo contrario.
Esta nueva medida de seguridad llega pocos días después de que Google parcheara dos vulnerabilidades de día cero en Chrome. Puede leer más sobre estas vulnerabilidades siguiendo este enlace.