Google Chrome untuk mengurangi "tab-napping" dengan memblokir pengalihan di tab atau jendela baru

Singkat Berita XdaNov 13, 2023
click fraud protection

Google Chrome mendapatkan langkah keamanan baru yang akan mengurangi "tab-napping" dengan memblokir pengalihan di tab atau jendela baru.

Anda mungkin pernah mengamati salah satu dari dua perilaku saat mengeklik tautan di situs web mana pun — tautan tersebut akan terbuka di tab yang sama, atau terbuka di tab/jendela baru. Penulis situs web dapat mengontrol perilaku ini dengan menambahkan target="_kosong" atribut ke URL yang ingin mereka buka di tab baru. Atribut ini mengarahkan browser untuk membuka link di tab baru ketika diklik. Namun atributnya memiliki a masalah keamanan yang diketahui yang memungkinkan halaman yang baru dibuka menggunakan JavaScript untuk mengarahkan Anda ke URL lain. Hal ini menimbulkan ancaman serius, karena URL yang dialihkan mungkin merupakan situs web yang berisi malware atau halaman phishing. Untuk mengatasi hal ini, Google Chrome mendapatkan langkah keamanan baru.

Seperti laporan terbaru dari BleepingComputer menjelaskan, pembuat situs web sudah dapat mencegah tab baru menggunakan JavaScript untuk mengalihkan ke URL lain dengan menggunakan

rel="pembuka" Atribut tautan HTML. Namun, mereka harus menambahkan atribut secara manual ke setiap link dengan atribut target='_blank'. Kembali pada tahun 2018, Apple membuat perubahan di Safari yang secara otomatis menyiratkan atribut noopener pada tautan HTML yang menggunakan target="_blank". Berkat ini, browser secara otomatis mengamankan tab baru meskipun pembuatnya tidak menggunakan atribut rel="noopener". Minggu lalu, pengembang Microsoft Edge Eric Lawrence menerapkan fitur yang sama dalam Kromium. Artinya, ini juga akan diperkenalkan di semua browser berbasis Chromium, seperti Microsoft Edge, Google Chrome, Brave, dan lainnya.

Dalam komentarnya mengenai tindakan pengamanan, Lawrence menyatakan:

"Untuk mengurangi serangan" tab-napping ", di mana tab/jendela baru yang dibuka oleh konteks korban dapat menavigasi pembuka tersebut konteksnya, standar HTML diubah untuk menentukan bahwa jangkar yang target_blank harus berperilaku seolah-olah |rel="noopener"| adalah mengatur. Laman yang ingin menyisih dari perilaku ini dapat menyetel |rel="opener"|."

Tindakan keamanan baru saat ini diaktifkan di saluran Chrome Canary dan diperkirakan akan diterapkan ke saluran stabil dengan Chrome 88 pada bulan Januari tahun depan. Seperti disebutkan sebelumnya, fitur ini pada dasarnya akan menyiratkan atribut "noopener" pada tautan HTML yang digunakan target="_blank" dan mencegah halaman menggunakan JavaScript untuk mengalihkan ke halaman baru, kecuali ditentukan jika tidak.

Langkah keamanan baru ini dilakukan hanya beberapa hari setelah Google menambal dua kerentanan zero-day di Chrome. Anda dapat membaca lebih lanjut tentang kerentanan ini dengan mengikuti Link ini.