Google Chrome krijgt een nieuwe beveiligingsmaatregel die 'tab-napping' zal verminderen door omleidingen in nieuwe tabbladen of vensters te blokkeren.
Mogelijk hebt u een van de volgende twee gedragingen waargenomen bij het klikken op links op een website: de link wordt geopend op hetzelfde tabblad, of wordt geopend in een nieuw tabblad/venster. Website-auteurs kunnen dit gedrag controleren door de doel = "_blank" attribuut toe aan URL's die ze in een nieuw tabblad willen openen. Dit attribuut zorgt ervoor dat de browser de link in een nieuw tabblad opent wanneer erop wordt geklikt. Maar het attribuut heeft een bekend beveiligingsprobleem waarmee nieuw geopende pagina's JavaScript kunnen gebruiken om u om te leiden naar een andere URL. Dit vormt een ernstige bedreiging, omdat de omgeleide URL mogelijk een met malware beladen website of een phishing-pagina kan zijn. Om dit aan te pakken krijgt Google Chrome een nieuwe beveiligingsmaatregel.
Zoals een recent rapport van BleepingComputer legt uit dat website-auteurs al kunnen voorkomen dat nieuwe tabbladen JavaScript gebruiken om naar een andere URL om te leiden door de
rel = "noopener" HTML-linkkenmerk. Ze moeten het attribuut echter handmatig toevoegen aan elke link met het target="_blank" attribuut. In 2018, Apple een verandering aangebracht in Safari impliceerde dat automatisch het noopener-attribuut op HTML-links die target="_blank" gebruikten. Hierdoor beveiligt de browser automatisch nieuwe tabbladen, zelfs als de auteur het rel="noopener" attribuut niet heeft gebruikt. Vorige week zei Microsoft Edge-ontwikkelaar Eric Lawrence dezelfde functie geïmplementeerd in Chroom. Dit betekent dat het ook zal worden geïntroduceerd in alle Chromium-gebaseerde browsers, zoals Microsoft Edge, Google Chrome, Brave en meer.In een opmerking over de beveiligingsmaatregel verklaarde Lawrence:
"Om 'tab-napping'-aanvallen te beperken, waarbij een nieuw tabblad/venster geopend door een slachtoffercontext door die opener kan navigeren context is de HTML-standaard gewijzigd om te specificeren dat ankers die target_blank zich moeten gedragen alsof |rel="noopener"| is set. Een pagina die zich wil afmelden voor dit gedrag kan |rel="opener"|."
De nieuwe beveiligingsmaatregel is momenteel ingeschakeld in het Chrome Canary-kanaal en zal naar verwachting in januari volgend jaar zijn weg vinden naar het stabiele kanaal met Chrome 88. Zoals eerder vermeld, zal de functie in wezen het "noopener" -attribuut impliceren op HTML-links die gebruikmaken van target="_blank" en voorkomen dat pagina's JavaScript gebruiken om door te verwijzen naar een nieuwe pagina, tenzij anders aangegeven anders.
Deze nieuwe beveiligingsmaatregel komt slechts enkele dagen nadat Google twee zero-day-kwetsbaarheden in Chrome heeft gepatcht. U kunt meer over deze kwetsbaarheden lezen door het volgende te volgen deze link.