Google Chrome saa uuden suojaustoimenpiteen, joka vähentää "välilehtien nappaamista" estämällä uudelleenohjaukset uusissa välilehdissä tai ikkunoissa.
Olet saattanut havaita jommankumman kahdesta käyttäytymisestä, kun napsautat linkkejä millä tahansa verkkosivustolla – linkki joko avautuu samassa välilehdessä tai se avautuu uuteen välilehteen/ikkunaan. Verkkosivustojen tekijät voivat hallita tätä toimintaa lisäämällä target="_blank" attribuutti URL-osoitteille, jotka he haluavat avata uudessa välilehdessä. Tämä määrite ohjaa selaimen avaamaan linkin uudelle välilehdelle, kun sitä napsautetaan. Mutta attribuutilla on a tunnettu tietoturvaongelma jonka avulla äskettäin avatut sivut voivat ohjata sinut toiseen URL-osoitteeseen JavaScriptin avulla. Tämä on vakava uhka, koska uudelleenohjattu URL-osoite voi mahdollisesti olla haittaohjelmia sisältävä verkkosivusto tai tietojenkalastelusivu. Tämän korjaamiseksi Google Chrome saa uuden suojaustoimenpiteen.
Tuoreen raportin mukaan BleepingComputer
selittää, verkkosivustojen tekijät voivat jo estää uusia välilehtiä käyttämästä JavaScriptiä uudelleenohjaamaan toiseen URL-osoitteeseen käyttämällä rel="noopener" HTML-linkkiattribuutti. Heidän on kuitenkin lisättävä attribuutti manuaalisesti jokaiseen linkkiin, jossa on target="_blank"-attribuutti. Vuonna 2018 Apple teki muutoksen Safarissa, joka sisälsi automaattisesti noopener-attribuutin HTML-linkeissä, joissa käytettiin target="_blank". Tämän ansiosta selain suojasi automaattisesti uudet välilehdet, vaikka kirjoittaja ei käyttänyt rel="noopener"-attribuuttia. Viime viikolla Microsoft Edge -kehittäjä Eric Lawrence toteuttanut saman ominaisuuden Chromiumissa. Tämä tarkoittaa, että se otetaan käyttöön myös kaikissa Chromium-pohjaisissa selaimissa, kuten Microsoft Edge, Google Chrome, Brave ja monet muut.Turvatoimenpidettä koskevassa kommentissa Lawrence sanoi:
"Vähennetään välilehtien nappaushyökkäyksiä, joissa uhrin kontekstin avaama uusi välilehti/ikkuna voi navigoida avaajassa kontekstissa HTML-standardi muuttui määrittelemään, että ankkurit, joiden kohde_tyhjä, käyttäytyvät ikään kuin |rel="noopener"| On aseta. Sivu, joka haluaa poistaa tämän toiminnan käytöstä, voi asettaa |rel="opener"|."
Uusi turvatoimenpide on tällä hetkellä käytössä Chrome Canary -kanavalla, ja sen odotetaan siirtyvän vakaalle kanavalle Chrome 88:n kanssa ensi vuoden tammikuussa. Kuten aiemmin mainittiin, ominaisuus tarkoittaa olennaisesti "noopener"-attribuuttia HTML-linkeissä, jotka käyttävät target="_blank" ja estää sivuja käyttämästä JavaScriptiä uudelleenohjaamiseen uudelle sivulle, ellei toisin mainita muuten.
Tämä uusi suojaustoimenpide tulee vain päiviä sen jälkeen, kun Google korjasi kaksi nollapäivän haavoittuvuutta Chromessa. Voit lukea lisää näistä haavoittuvuuksista seuraamalla tämä linkki.