Google Chrome saab uue turvameetme, mis leevendab vaheleheidet, blokeerides ümbersuunamised uutel vahekaartidel või akendel.
Võimalik, et olete mis tahes veebisaidil linkidel klõpsates täheldanud ühte kahest käitumisest – link avaneb kas samal vahekaardil või uuel vahekaardil/aknas. Veebisaidi autorid saavad seda käitumist juhtida, lisades target="_blank" URL-idele, mida nad soovivad uuel vahelehel avada. See atribuut suunab brauserit klõpsamisel linki uuel vahelehel avama. Kuid atribuudil on a teadaolev turvaprobleem mis võimaldab äsja avatud lehtedel kasutada JavaScripti, et suunata teid teisele URL-ile. See kujutab endast tõsist ohtu, kuna ümbersuunatud URL võib olla pahavaraga koormatud veebisait või andmepüügileht. Selle probleemi lahendamiseks saab Google Chrome uue turvameetme.
Nagu hiljutine aruanne alates BleepingComputer selgitab, saavad veebisaitide autorid juba takistada uutel vahekaartidel JavaScripti kasutamast, et suunata ümber teisele URL-ile, kasutades rel="noopener" HTML-lingi atribuut. Siiski peavad nad atribuudi käsitsi lisama igale lingile, millel on atribuut target="_blank". Tagasi aastal 2018, Apple
tegi muudatuse Safaris, mis viitas automaatselt atribuudile noopener HTML-linkidel, mis kasutasid target="_blank". Tänu sellele turvas brauser automaatselt uued vahelehed, isegi kui autor ei kasutanud atribuuti rel="noopener". Eelmisel nädalal Microsoft Edge'i arendaja Eric Lawrence rakendas sama funktsiooni Chromiumis. See tähendab, et seda võetakse kasutusele ka kõigis Chromiumipõhistes brauserites, nagu Microsoft Edge, Google Chrome, Brave ja palju muud.Turvameetme kohta antud kommentaaris märkis Lawrence:
"Vahelehtede napsutamise" rünnakute leevendamiseks, mille puhul võib ohvri kontekstis avatud uus vaheleht/aken selles avajas liikuda kontekstis muudeti HTML-standardit, et määrata, et ankrud, mille sihtmärk_tühik, peaksid käituma nagu |rel="noopener"| on seatud. Sellest käitumisest loobuda sooviv leht võib määrata |rel="opener"|."
Uus turvameede on praegu Chrome Canary kanalis lubatud ja eeldatavasti jõuab see Chrome 88-ga stabiilsesse kanalisse järgmise aasta jaanuaris. Nagu varem mainitud, tähendab see funktsioon sisuliselt atribuuti "noopener" HTML-linkidel, mis kasutavad target="_blank" ja takistada lehtedel uuele lehele ümbersuunamiseks JavaScripti kasutamast, kui pole määratud muidu.
See uus turvameede ilmub vaid mõni päev pärast seda, kui Google parandas Chrome'i kaks nullpäeva turvaauku. Nende haavatavuste kohta saate lisateavet järgides see link.