Prehliadač Google Chrome dostáva nové bezpečnostné opatrenie, ktoré zmierni „napínanie tabulátorov“ blokovaním presmerovaní na nových kartách alebo oknách.
Možno ste si všimli jedno z dvoch správaní pri klikaní na odkazy na ľubovoľnej webovej lokalite – odkaz sa otvorí na tej istej karte alebo sa otvorí na novej karte/okne. Autori webových stránok môžu toto správanie ovládať pridaním target="_blank" priradiť k adresám URL, ktoré chcú otvoriť na novej karte. Tento atribút nasmeruje prehliadač, aby po kliknutí otvoril odkaz na novej karte. Ale atribút má a známy bezpečnostný problém ktorý umožňuje novootvoreným stránkam využívať JavaScript na presmerovanie na inú adresu URL. To predstavuje vážnu hrozbu, pretože presmerovanou adresou URL môže byť webová stránka so škodlivým softvérom alebo phishingová stránka. Aby sme to vyriešili, Google Chrome dostáva nové bezpečnostné opatrenie.
Ako nedávna správa z BleepingComputer vysvetľuje, že autori webových stránok už môžu zabrániť tomu, aby nové karty používali JavaScript na presmerovanie na inú adresu URL pomocou
rel="noopener" HTML atribút odkazu. Tento atribút však musia manuálne pridať ku každému odkazu s atribútom target="_blank". Späť v roku 2018, Apple urobil zmenu v Safari, ktorý automaticky implikoval atribút noopener na HTML odkazy, ktoré využívali target="_blank". Vďaka tomu prehliadač automaticky zabezpečil nové karty aj v prípade, že autor nepoužil atribút rel="noopener". Minulý týždeň vývojár Microsoft Edge Eric Lawrence implementovali rovnakú funkciu v prehliadači Chromium. To znamená, že bude predstavený aj vo všetkých prehliadačoch založených na prehliadači Chromium, ako sú Microsoft Edge, Google Chrome, Brave a ďalšie.V komentári k bezpečnostnému opatreniu Lawrence uviedol:
„Zmierniť útoky typu „napínania tabulátora“, pri ktorých nová karta/okno otvorené kontextom obete môže navigovať tento otvárač kontext, HTML štandard sa zmenil tak, aby špecifikoval, že kotvy, ktoré target_blank by sa mali správať ako keby |rel="noopener"| je nastaviť. Stránka, ktorá sa chce odhlásiť z tohto správania, môže nastaviť |rel="opener"|."
Nové bezpečnostné opatrenie je momentálne povolené v kanáli Chrome Canary a očakáva sa, že sa dostane do stabilného kanála s Chrome 88 v januári budúceho roka. Ako už bolo spomenuté, táto funkcia bude v podstate zahŕňať atribút „noopener“ na odkazoch HTML, ktoré využívajú target="_blank" a zabrániť stránkam v používaní JavaScriptu na presmerovanie na novú stránku, pokiaľ nie je uvedené inak inak.
Toto nové bezpečnostné opatrenie prichádza len niekoľko dní po tom, čo spoločnosť Google opravila dve zraniteľnosti nultého dňa v prehliadači Chrome. Viac o týchto zraniteľnostiach si môžete prečítať nasledujúcim spôsobom tento odkaz.