גוגל כרום מקבל אמצעי אבטחה חדש שיפחית את "תנומת הכרטיסיות" על ידי חסימת הפניות מחדש בכרטיסיות או חלונות חדשים.
ייתכן שהבחנת באחת משתי התנהגויות בעת לחיצה על קישורים באתר כלשהו - הקישור נפתח באותה כרטיסייה, או שהוא נפתח בכרטיסייה/חלון חדש. מחברי אתרים יכולים לשלוט בהתנהגות זו על ידי הוספת ה target="_blank" לייחס לכתובות אתרים שהם רוצים לפתוח בכרטיסייה חדשה. תכונה זו מכוונת את הדפדפן לפתוח את הקישור בכרטיסייה חדשה כאשר לוחצים עליו. אבל לתכונה יש א בעיית אבטחה ידועה המאפשר לדפים שנפתחו לאחרונה להשתמש ב-JavaScript כדי להפנות אותך לכתובת אתר אחרת. זה מהווה איום רציני, מכיוון שכתובת האתר המופנית מחדש עשויה להיות אתר עמוס בתוכנות זדוניות או דף פישינג. כדי לטפל בזה, Google Chrome מקבל אמצעי אבטחה חדש.
כדיווח לאחרונה מ BleepingComputer מסביר, מחברי אתרים כבר יכולים למנוע מכרטיסיות חדשות להשתמש ב-JavaScript כדי להפנות לכתובת אתר אחרת על ידי שימוש ב- rel="noopener" תכונת קישור HTML. עם זאת, עליהם להוסיף באופן ידני את התכונה לכל קישור עם התכונה target="_blank". עוד ב-2018, אפל עשה שינוי ב-Safari שרמזה אוטומטית את התכונה noopener בקישורי HTML שהשתמשו ב-target="_blank". הודות לכך, הדפדפן אבטח כרטיסיות חדשות באופן אוטומטי גם אם המחבר לא השתמש בתכונה rel="noopener". בשבוע שעבר, מפתח Microsoft Edge אריק לורנס
בהערה בנוגע לאמצעי האבטחה, לורנס הצהיר:
"כדי למתן התקפות "נמנמת כרטיסיות", שבהן כרטיסייה/חלון חדש שנפתח על ידי הקשר של קורבן עשוי לנווט בפותחן זה ההקשר, תקן ה-HTML השתנה כדי לציין שעוגנים ש-target_blank צריכים להתנהג כאילו |rel="noopener"| הוא מַעֲרֶכֶת. דף המעוניין לבטל את ההסכמה להתנהגות זו עשוי להגדיר |rel="opener"|."
אמצעי האבטחה החדש מופעל כעת בערוץ Chrome Canary והוא צפוי לעשות את דרכו לערוץ היציב עם Chrome 88 בינואר בשנה הבאה. כפי שצוין קודם לכן, התכונה תרמוז בעצם על התכונה "noopener" בקישורי HTML שמשתמשים בהם target="_blank" ולמנוע מדפים להשתמש ב-JavaScript כדי להפנות מחדש לדף חדש, אלא אם צוין אחרת.
אמצעי האבטחה החדש הזה מגיע ימים ספורים לאחר שגוגל תיקנה שתי נקודות תורפה של יום אפס ב-Chrome. תוכל לקרוא עוד על פגיעויות אלה על ידי מעקב הקישור הזה.