Google Chrome for å redusere «tab-napping» ved å blokkere omdirigeringer i nye faner eller vinduer

Google Chrome får et nytt sikkerhetstiltak som vil redusere «tab-napping» ved å blokkere omdirigeringer i nye faner eller vinduer.

Du kan ha observert en av to atferd når du klikker på lenker på et hvilket som helst nettsted - lenken åpnes enten i samme fane, eller den åpnes i en ny fane/vindu. Nettstedsforfattere kan kontrollere denne oppførselen ved å legge til target="_blank" attributt til URL-er som de ønsker å åpne i en ny fane. Dette attributtet leder nettleseren til å åpne lenken i en ny fane når den klikkes. Men attributtet har en kjent sikkerhetsproblem som lar nyåpnede sider bruke JavaScript for å omdirigere deg til en annen URL. Dette utgjør en alvorlig trussel, siden den omdirigerte URL-en muligens kan være et nettsted med skadelig programvare eller en phishing-side. For å løse dette får Google Chrome et nytt sikkerhetstiltak.

Som en fersk rapport fra BleepingComputer forklarer, nettstedforfattere kan allerede forhindre nye faner fra å bruke JavaScript for å omdirigere til en annen URL ved å bruke

rel="noopener" HTML-lenkeattributt. Imidlertid må de manuelt legge til attributtet til hver lenke med target="_blank"-attributtet. Tilbake i 2018, Apple gjort en endring i Safari som automatisk antydet noopener-attributtet på HTML-koblinger som brukte target="_blank". Takket være dette sikret nettleseren automatisk nye faner selv om forfatteren ikke brukte rel="noopener"-attributtet. Forrige uke, Microsoft Edge-utvikler Eric Lawrence implementert samme funksjon i Chromium. Dette betyr at det også vil bli introdusert i alle Chromium-baserte nettlesere, som Microsoft Edge, Google Chrome, Brave og mer.

I en kommentar angående sikkerhetstiltaket uttalte Lawrence:

"For å dempe "tab-napping"-angrep, der en ny fane/vindu åpnet av en offerkontekst kan navigere i den åpneren kontekst, endret HTML-standarden for å spesifisere at ankere som target_blank skal oppføre seg som om |rel="noopener"| er sett. En side som ønsker å velge bort denne oppførselen kan sette |rel="opener"|."

Det nye sikkerhetstiltaket er for øyeblikket aktivert i Chrome Canary-kanalen, og det forventes å komme seg til den stabile kanalen med Chrome 88 i januar neste år. Som nevnt tidligere, vil funksjonen i hovedsak innebære "noopener"-attributtet på HTML-lenker som brukes target="_blank" og hindre sider fra å bruke JavaScript for å omdirigere til en ny side, med mindre det er spesifisert ellers.

Dette nye sikkerhetstiltaket kommer bare dager etter at Google korrigerte to nulldagssårbarheter i Chrome. Du kan lese mer om disse sårbarhetene ved å følge denne lenken.