Google Chrome შეამსუბუქებს "tab-napping" ახალ ჩანართებში ან ფანჯრებში გადამისამართების დაბლოკვით

Xda სიახლეების ბრიფინგიNov 13, 2023
click fraud protection

Google Chrome იღებს უსაფრთხოების ახალ ზომას, რომელიც შეამსუბუქებს "ჩანართების დაძაბვას" ახალ ჩანართებში ან ფანჯრებში გადამისამართებების დაბლოკვით.

თქვენ შეიძლება დააკვირდეთ ორიდან ერთ-ერთ ქცევას რომელიმე ვებსაიტზე ბმულზე დაწკაპუნებისას – ბმული ან იხსნება იმავე ჩანართში, ან იხსნება ახალ ჩანართში/ფანჯარაში. ვებსაიტის ავტორებს შეუძლიათ აკონტროლონ ეს ქცევა target="_blank" მიეკუთვნება URL-ებს, რომელთა გახსნა სურთ ახალ ჩანართში. ეს ატრიბუტი მიმართავს ბრაუზერს დაწკაპუნებისას გახსნას ბმული ახალ ჩანართში. მაგრამ ატრიბუტს აქვს ა ცნობილი უსაფრთხოების საკითხი რომელიც საშუალებას აძლევს ახლად გახსნილ გვერდებს გამოიყენონ JavaScript სხვა URL-ზე გადამისამართებისთვის. ეს სერიოზულ საფრთხეს უქმნის, რადგან გადამისამართებული URL შესაძლოა იყოს მავნე პროგრამით დატვირთული ვებსაიტი ან ფიშინგის გვერდი. ამის გადასაჭრელად Google Chrome იღებს უსაფრთხოების ახალ ზომას.

როგორც ბოლო მოხსენება Bleeping კომპიუტერი განმარტავს, ვებსაიტის ავტორებს უკვე შეუძლიათ თავიდან აიცილონ ახალი ჩანართების JavaScript-ის გამოყენება სხვა URL-ზე გადამისამართების მიზნით.

rel="noopener" HTML ბმულის ატრიბუტი. თუმცა, მათ ხელით უნდა დაამატონ ატრიბუტი ყველა ბმულზე target="_blank" ატრიბუტით. ჯერ კიდევ 2018 წელს Apple ცვლილება შეიტანა Safari-ში, რომელიც ავტომატურად გულისხმობდა noopener ატრიბუტს HTML ბმულებზე, რომლებიც იყენებდნენ target="_blank". ამის წყალობით, ბრაუზერი ავტომატურად იცავდა ახალ ჩანართებს მაშინაც კი, თუ ავტორი არ იყენებდა rel="noopener" ატრიბუტს. გასულ კვირას Microsoft Edge-ის დეველოპერი ერიკ ლოურენსი განხორციელდა იგივე ფუნქცია Chromium-ში. ეს ნიშნავს, რომ ის ასევე დაინერგება Chromium-ზე დაფუძნებულ ყველა ბრაუზერში, როგორიცაა Microsoft Edge, Google Chrome, Brave და სხვა.

უსაფრთხოების ზომასთან დაკავშირებით კომენტარში ლოურენსმა თქვა:

„ჩანართების შეტევების შესარბილებლად, რომლებშიც მსხვერპლის კონტექსტის მიერ გახსნილი ახალ ჩანართს/ფანჯარას შეუძლია ნავიგაცია ამ გახსნილში. კონტექსტში, HTML სტანდარტი შეიცვალა და დაზუსტდა, რომ წამყვანები, რომლებიც target_blank უნდა იქცეოდნენ ისე, თითქოს |rel="noopener"| არის კომპლექტი. გვერდმა, რომელსაც სურს უარი თქვას ამ ქცევაზე, შეიძლება დააყენოს |rel="opener"|."

უსაფრთხოების ახალი ზომა ამჟამად ჩართულია Chrome Canary არხზე და მოსალოდნელია, რომ მომავალი წლის იანვარში Chrome 88-ით სტაბილურ არხზე გადავა. როგორც უკვე აღვნიშნეთ, ფუნქცია არსებითად გულისხმობს "noopener" ატრიბუტს HTML ბმულებზე, რომლებიც იყენებენ target="_blank" და თავიდან აიცილეთ გვერდები JavaScript-ის გამოყენებაში ახალ გვერდზე გადამისამართებისთვის, თუ მითითებული არ არის წინააღმდეგ შემთხვევაში.

უსაფრთხოების ეს ახალი ზომა მოდის მხოლოდ რამდენიმე დღის შემდეგ, რაც Google-მა შეასწორა ორი ნულოვანი დღის დაუცველობა Chrome-ში. თქვენ შეგიძლიათ წაიკითხოთ მეტი ამ დაუცველობის შესახებ შემდეგით ეს ბმული.