Google Chrome får et nytt sikkerhetstiltak som vil redusere «tab-napping» ved å blokkere omdirigeringer i nye faner eller vinduer.
Du kan ha observert en av to atferd når du klikker på lenker på et hvilket som helst nettsted - lenken åpnes enten i samme fane, eller den åpnes i en ny fane/vindu. Nettstedsforfattere kan kontrollere denne oppførselen ved å legge til target="_blank" attributt til URL-er som de ønsker å åpne i en ny fane. Dette attributtet leder nettleseren til å åpne lenken i en ny fane når den klikkes. Men attributtet har en kjent sikkerhetsproblem som lar nyåpnede sider bruke JavaScript for å omdirigere deg til en annen URL. Dette utgjør en alvorlig trussel, siden den omdirigerte URL-en muligens kan være et nettsted med skadelig programvare eller en phishing-side. For å løse dette får Google Chrome et nytt sikkerhetstiltak.
Som en fersk rapport fra BleepingComputer forklarer, nettstedforfattere kan allerede forhindre nye faner fra å bruke JavaScript for å omdirigere til en annen URL ved å bruke
I en kommentar angående sikkerhetstiltaket uttalte Lawrence:
"For å dempe "tab-napping"-angrep, der en ny fane/vindu åpnet av en offerkontekst kan navigere i den åpneren kontekst, endret HTML-standarden for å spesifisere at ankere som target_blank skal oppføre seg som om |rel="noopener"| er sett. En side som ønsker å velge bort denne oppførselen kan sette |rel="opener"|."
Det nye sikkerhetstiltaket er for øyeblikket aktivert i Chrome Canary-kanalen, og det forventes å komme seg til den stabile kanalen med Chrome 88 i januar neste år. Som nevnt tidligere, vil funksjonen i hovedsak innebære "noopener"-attributtet på HTML-lenker som brukes target="_blank" og hindre sider fra å bruke JavaScript for å omdirigere til en ny side, med mindre det er spesifisert ellers.
Dette nye sikkerhetstiltaket kommer bare dager etter at Google korrigerte to nulldagssårbarheter i Chrome. Du kan lese mer om disse sårbarhetene ved å følge denne lenken.