Google Chrome primește o nouă măsură de securitate care va atenua „siesta de filă” prin blocarea redirecționărilor în file noi sau ferestre.
Este posibil să fi observat unul dintre cele două comportamente când faceți clic pe linkuri de pe orice site web - linkul fie se deschide în aceeași filă, fie se deschide într-o nouă filă/fereastră. Autorii site-urilor web pot controla acest comportament prin adăugarea target="_blank" atribuie adreselor URL pe care doresc să le deschidă într-o filă nouă. Acest atribut direcționează browserul să deschidă linkul într-o filă nouă atunci când se dă clic. Dar atributul are a problemă de securitate cunoscută care permite paginilor nou deschise să utilizeze JavaScript pentru a vă redirecționa către o adresă URL diferită. Acest lucru reprezintă o amenințare serioasă, deoarece adresa URL redirecționată ar putea fi un site web încărcat cu programe malware sau o pagină de phishing. Pentru a rezolva acest lucru, Google Chrome primește o nouă măsură de securitate.
Ca un raport recent de la BleepingComputer explică, autorii de site-uri web pot împiedica deja noile file să folosească JavaScript pentru a redirecționa către o adresă URL diferită utilizând rel="noopener" Atribut link HTML. Cu toate acestea, ei trebuie să adauge manual atributul la fiecare link cu atributul target="_blank". În 2018, Apple a făcut o schimbare în Safari, care implica automat atributul noopener pe link-urile HTML care foloseau target="_blank". Datorită acestui fapt, browserul a asigurat automat noi file, chiar dacă autorul nu a folosit atributul rel="noopener". Săptămâna trecută, dezvoltatorul Microsoft Edge Eric Lawrence implementat aceeași caracteristică în Chromium. Aceasta înseamnă că va fi introdus și în toate browserele bazate pe Chromium, cum ar fi Microsoft Edge, Google Chrome, Brave și altele.
Într-un comentariu referitor la măsura de securitate, Lawrence a declarat:
„Pentru a atenua atacurile de tip „fil-napping”, în care o nouă filă/fereastră deschisă de un context victimă poate naviga în acel deschidere context, standardul HTML s-a modificat pentru a specifica faptul că ancorele care target_blank ar trebui să se comporte ca și cum |rel="noopener"| este a stabilit. O pagină care dorește să renunțe la acest comportament poate seta |rel="opener"|."
Noua măsură de securitate este activată în prezent pe canalul Chrome Canary și este de așteptat să-și facă drum spre canalul stabil cu Chrome 88 în ianuarie anul viitor. După cum am menționat mai devreme, caracteristica va implica în esență atributul „noopener” pe link-urile HTML care utilizează target="_blank" și împiedicați paginile să folosească JavaScript pentru a redirecționa către o pagină nouă, dacă nu este specificat in caz contrar.
Această nouă măsură de securitate vine la doar câteva zile după ce Google a corectat două vulnerabilități zero-day în Chrome. Puteți citi mai multe despre aceste vulnerabilități urmând acest link.