Google Chrome には、新しいタブやウィンドウでのリダイレクトをブロックすることで「タブナッピング」を軽減する新しいセキュリティ対策が導入されています。
Web サイト上のリンクをクリックしたときに、リンクが同じタブで開くか、新しいタブ/ウィンドウで開くかの 2 つの動作のいずれかを観察したことがあるかもしれません。 Web サイトの作成者は、 ターゲット = "_空白" 新しいタブで開きたい URL に属性を付けます。 この属性は、クリックされたときにリンクを新しいタブで開くようにブラウザに指示します。 しかし、属性には 既知のセキュリティ問題 これにより、新しく開いたページが JavaScript を利用して別の URL にリダイレクトされます。 リダイレクトされた URL がマルウェアを含んだ Web サイトまたはフィッシング ページである可能性があるため、これは深刻な脅威となります。 これに対処するために、Google Chrome には新しいセキュリティ対策が導入されています。
最近の報告としては、 ピーピーコンピュータ 説明によると、Web サイトの作成者は、 rel="ノーオープナー" HTML リンク属性。 ただし、target="_blank" 属性を持つすべてのリンクに属性を手動で追加する必要があります。 2018 年に遡ると、Apple 変更を加えました Safari では、target="_blank" を利用する HTML リンクに noopener 属性が自動的に暗黙的に含まれていました。 このおかげで、作成者が rel="noopener" 属性を使用しなかった場合でも、ブラウザは自動的に新しいタブを保護しました。 先週、Microsoft Edge 開発者のエリック・ローレンス氏は、 同じ機能を実装しました クロムで。 これは、Microsoft Edge、Google Chrome、Brave などのすべての Chromium ベースのブラウザーにも導入されることを意味します。
ローレンス氏はセキュリティ対策に関するコメントで次のように述べた。
「被害コンテキストによって開かれた新しいタブ/ウィンドウがそのオープナーに移動する可能性がある「タブナッピング」攻撃を軽減するため コンテキストに応じて、HTML 標準は、target_blank のアンカーが |rel="noopener"| のように動作するように指定するように変更されました。 は セット。 この動作をオプトアウトしたいページでは、|rel="opener"| を設定できます。」
この新しいセキュリティ対策は現在、Chrome Canary チャネルで有効になっており、来年 1 月に Chrome 88 で安定チャネルに導入される予定です。 前述したように、この機能は基本的に、 target="_blank" を指定すると、指定されない限り、ページが JavaScript を使用して新しいページにリダイレクトされなくなります。 さもないと。
この新しいセキュリティ対策は、Google が Chrome の 2 つのゼロデイ脆弱性にパッチを当てた数日後に行われました。 これらの脆弱性について詳しくは、以下をご覧ください。 このリンク.