A Google Chrome az új lapokon vagy ablakokban történő átirányítások blokkolásával csökkenti a "lapelnyomást".

Xda HírösszefoglalóNov 13, 2023
click fraud protection

A Google Chrome új biztonsági intézkedést kap, amely az új lapokon vagy ablakokban történő átirányítások blokkolásával mérsékli a „lapelzárást”.

Előfordulhat, hogy két viselkedés egyikét figyelte meg, amikor bármely webhelyen a hivatkozásokra kattint – a hivatkozás vagy ugyanazon a lapon nyílik meg, vagy új lapon/ablakban nyílik meg. A webhely szerzői szabályozhatják ezt a viselkedést, ha hozzáadják a target="_blank" attribútumot azokhoz az URL-ekhez, amelyeket új lapon kívánnak megnyitni. Ez az attribútum arra irányítja a böngészőt, hogy kattintáskor új lapon nyissa meg a hivatkozást. De az attribútumnak van a ismert biztonsági probléma amely lehetővé teszi, hogy az újonnan megnyitott oldalak a JavaScript használatával átirányítsák Önt egy másik URL-re. Ez komoly veszélyt jelent, mivel az átirányított URL rosszindulatú programokkal teli webhely vagy adathalász oldal lehet. Ennek megoldására a Google Chrome új biztonsági intézkedést kap.

A legutóbbi jelentés szerint BleepingComputer kifejti, a webhelyek szerzői már megakadályozhatják, hogy az új lapok JavaScript használatával átirányítsanak egy másik URL-re a következő használatával

rel="noopener" HTML link attribútum. Azonban manuálisan kell hozzáadniuk az attribútumot minden hivatkozáshoz a target="_blank" attribútummal. Még 2018-ban az Apple változtatást hajtott végre a Safariban, amely automatikusan a noopener attribútumot jelentette a target="_blank"-t használó HTML-hivatkozásokon. Ennek köszönhetően a böngésző automatikusan biztosította az új lapokat akkor is, ha a szerző nem használta a rel="noopener" attribútumot. A múlt héten a Microsoft Edge fejlesztője, Eric Lawrence ugyanazt a funkciót valósította meg a Chromiumban. Ez azt jelenti, hogy minden Chromium-alapú böngészőben bevezetik, mint például a Microsoft Edge, a Google Chrome, a Brave stb.

Lawrence a biztonsági intézkedésekkel kapcsolatos megjegyzésében a következőket mondta:

"A "lapelnyomásos" támadások mérséklésére, amelyek során egy áldozat kontextusa által megnyitott új lap/ablak navigálhat a megnyitóban kontextusban a HTML szabvány úgy módosult, hogy meghatározza, hogy a target_blank horgonyok úgy viselkedjenek, mintha |rel="noopener"| van készlet. Az erről a viselkedésről leiratkozni kívánó oldal |rel="opener"|."

Az új biztonsági intézkedés jelenleg engedélyezve van a Chrome Canary csatornán, és várhatóan jövő év januárjában kerül a Chrome 88-cal a stabil csatornába. Ahogy korábban említettük, a funkció lényegében a „noopener” attribútumot fogja tartalmazni azokon a HTML hivatkozásokon, amelyek target="_blank", és megakadályozza, hogy az oldalak JavaScript használatával átirányítsanak egy új oldalra, hacsak nincs megadva másképp.

Ez az új biztonsági intézkedés néhány nappal azután érkezik, hogy a Google kijavította a Chrome két nulladik napi sebezhetőségét. Ezekről a sebezhetőségekről az alábbiakban olvashat bővebben ez a link.