Google Chrome para mitigar o "soneca de guias", bloqueando redirecionamentos em novas guias ou janelas

Resumo Da Notícia XdaNov 13, 2023
click fraud protection

O Google Chrome está recebendo uma nova medida de segurança que irá mitigar o “napping de guias”, bloqueando redirecionamentos em novas guias ou janelas.

Você pode ter observado um de dois comportamentos ao clicar em links em qualquer site: o link abre na mesma guia ou em uma nova guia/janela. Os autores de sites podem controlar esse comportamento adicionando o alvo="_em branco" atribuem aos URLs que desejam abrir em uma nova guia. Este atributo direciona o navegador para abrir o link em uma nova aba quando clicado. Mas o atributo tem um problema de segurança conhecido que permite que páginas recém-abertas utilizem JavaScript para redirecioná-lo para um URL diferente. Isso representa uma ameaça séria, pois o URL redirecionado pode ser um site carregado de malware ou uma página de phishing. Para resolver isso, o Google Chrome está recebendo uma nova medida de segurança.

Como um relatório recente de BipandoComputador explica, os autores do site já podem impedir que novas guias usem JavaScript para redirecionar para um URL diferente usando o

rel="noopener" Atributo de link HTML. No entanto, eles precisam adicionar manualmente o atributo a cada link com o atributo target="_blank". Em 2018, a Apple fiz uma mudança no Safari que implicava automaticamente o atributo noopener em links HTML que utilizavam target="_blank". Graças a isso, o navegador protegeu automaticamente novas guias, mesmo que o autor não tenha usado o atributo rel="noopener". Na semana passada, o desenvolvedor do Microsoft Edge, Eric Lawrence implementou o mesmo recurso em cromo. Isso significa que ele também será introduzido em todos os navegadores baseados em Chromium, como Microsoft Edge, Google Chrome, Brave e muito mais.

Em comentário sobre a medida de segurança, Lawrence afirmou:

"Para mitigar ataques de "tab-napping", nos quais uma nova aba/janela aberta por um contexto de vítima pode navegar nesse abridor contexto, o padrão HTML mudou para especificar que as âncoras que target_blank devem se comportar como se |rel="noopener"| é definir. Uma página que deseja cancelar esse comportamento pode definir |rel="opener"|."

A nova medida de segurança está atualmente habilitada no canal Chrome Canary e espera-se que chegue ao canal estável com o Chrome 88 em janeiro do próximo ano. Conforme mencionado anteriormente, o recurso implicará essencialmente no atributo "noopener" em links HTML que utilizam target="_blank" e impedir que as páginas usem JavaScript para redirecionar para uma nova página, a menos que especificado de outra forma.

Esta nova medida de segurança ocorre poucos dias depois que o Google corrigiu duas vulnerabilidades de dia zero no Chrome. Você pode ler mais sobre essas vulnerabilidades seguindo esse link.