Google Chrome sta adottando una nuova misura di sicurezza che attenuerà il "tab-napping" bloccando i reindirizzamenti in nuove schede o finestre.
Potresti aver osservato uno di questi due comportamenti quando fai clic sui collegamenti su qualsiasi sito Web: il collegamento si apre nella stessa scheda oppure in una nuova scheda/finestra. Gli autori del sito web possono controllare questo comportamento aggiungendo il file destinazione="_vuoto" attribuire agli URL che desiderano aprire in una nuova scheda. Questo attributo indica al browser di aprire il collegamento in una nuova scheda quando si fa clic. Ma l'attributo ha a problema di sicurezza noto che consente alle pagine appena aperte di utilizzare JavaScript per reindirizzarti a un URL diverso. Ciò rappresenta una seria minaccia, poiché l'URL reindirizzato potrebbe essere un sito Web carico di malware o una pagina di phishing. Per risolvere questo problema, Google Chrome sta ottenendo una nuova misura di sicurezza.
Come un recente rapporto di
Computer che dorme spiega, gli autori di siti Web possono già impedire alle nuove schede di utilizzare JavaScript per reindirizzare a un URL diverso utilizzando il file rel="noopener" Attributo del collegamento HTML. Tuttavia, devono aggiungere manualmente l'attributo a ogni collegamento con l'attributo target="_blank". Nel 2018, Apple fatto un cambiamento in Safari che implicava automaticamente l'attributo noopener sui collegamenti HTML che utilizzavano target="_blank". Grazie a ciò, il browser protegge automaticamente le nuove schede anche se l'autore non utilizza l'attributo rel="noopener". La scorsa settimana, lo sviluppatore di Microsoft Edge Eric Lawrence implementato la stessa funzionalità nel cromo. Ciò significa che verrà introdotto anche in tutti i browser basati su Chromium, come Microsoft Edge, Google Chrome, Brave e altri.In un commento riguardante la misura di sicurezza, Lawrence ha dichiarato:
"Per mitigare gli attacchi "tab-napping", in cui una nuova scheda/finestra aperta dal contesto della vittima può navigare in quell'apertura contesto, lo standard HTML è cambiato per specificare che gli ancoraggi target_blank dovrebbero comportarsi come se |rel="noopener"| È impostato. Una pagina che desideri disattivare questo comportamento può impostare |rel="opener"|."
La nuova misura di sicurezza è attualmente abilitata nel canale Chrome Canary e si prevede che arriverà al canale stabile con Chrome 88 a gennaio del prossimo anno. Come accennato in precedenza, la funzionalità implicherà essenzialmente l'attributo "noopener" sui collegamenti HTML che utilizzano target="_blank" e impedisce alle pagine di utilizzare JavaScript per reindirizzare a una nuova pagina, a meno che non sia specificato Altrimenti.
Questa nuova misura di sicurezza arriva pochi giorni dopo che Google ha corretto due vulnerabilità zero-day in Chrome. Puoi leggere ulteriori informazioni su queste vulnerabilità seguendo questo link.