Przeglądarka Google Chrome otrzymuje nowy środek bezpieczeństwa, który zapobiegnie „drzemieniu na kartach” poprzez blokowanie przekierowań w nowych kartach lub oknach.
Być może zaobserwowałeś jedno z dwóch zachowań podczas klikania linków na dowolnej stronie internetowej — link albo otwiera się w tej samej karcie, albo otwiera się w nowej karcie/oknie. Autorzy witryn mogą kontrolować to zachowanie, dodając rozszerzenie cel="_blank" przypisać do adresów URL, które chcą otworzyć w nowej karcie. Ten atrybut nakazuje przeglądarce otwarcie łącza w nowej karcie po kliknięciu. Ale atrybut ma znany problem bezpieczeństwa która pozwala nowo otwartym stronom wykorzystywać JavaScript do przekierowania Cię na inny adres URL. Stanowi to poważne zagrożenie, ponieważ przekierowany adres URL może być witryną zawierającą złośliwe oprogramowanie lub stroną phishingową. Aby rozwiązać ten problem, przeglądarka Google Chrome otrzymuje nowy środek bezpieczeństwa.
Jak wynika z najnowszego raportu z Błyszczący Komputer
wyjaśnia, autorzy witryn mogą już uniemożliwiać nowym kartom używanie JavaScript do przekierowywania na inny adres URL, używając metody rel="noopener" Atrybut łącza HTML. Muszą jednak ręcznie dodać atrybut do każdego linku z atrybutem target="_blank". W 2018 roku Apple dokonał zmiany w przeglądarce Safari, która automatycznie implikowała atrybut noopener w linkach HTML korzystających z target="_blank". Dzięki temu przeglądarka automatycznie zabezpieczyła nowe karty nawet jeśli autor nie użył atrybutu rel="noopener". W zeszłym tygodniu programista Microsoft Edge Eric Lawrence zaimplementowano tę samą funkcję w Chromie. Oznacza to, że zostanie ona również wprowadzona we wszystkich przeglądarkach opartych na Chromium, takich jak Microsoft Edge, Google Chrome, Brave i innych.W komentarzu dotyczącym środka bezpieczeństwa Lawrence stwierdził:
„Aby złagodzić ataki polegające na „drzemieniu kart”, w których nowa karta/okno otwarte w kontekście ofiary może nawigować po tym otwieraczu kontekście zmieniono standard HTML, aby określić, że kotwice docelowe_blank powinny zachowywać się tak, jakby |rel="noopener"| Jest ustawić. Strona chcąca zrezygnować z tego zachowania może ustawić |rel="opener"|."
Nowe zabezpieczenie jest obecnie włączone w kanale Chrome Canary i oczekuje się, że trafi do stabilnego kanału w przeglądarce Chrome 88 w styczniu przyszłego roku. Jak wspomniano wcześniej, funkcja ta zasadniczo będzie oznaczać atrybut „noopener” w wykorzystywanych łączach HTML target="_blank" i uniemożliwia stronom używanie JavaScript do przekierowywania na nową stronę, chyba że określono inaczej W przeciwnym razie.
Ten nowy środek bezpieczeństwa pojawia się zaledwie kilka dni po załataniu przez Google dwóch luk typu zero-day w przeglądarce Chrome. Więcej informacji na temat tych luk można znaleźć w poniższym artykule ten link.