Google Chrome dobiva nov varnostni ukrep, ki bo ublažil "dremanje zavihkov" z blokiranjem preusmeritev v novih zavihkih ali oknih.
Morda ste opazili eno od dveh vedenj pri klikanju povezav na katerem koli spletnem mestu – povezava se odpre na istem zavihku ali pa se odpre v novem zavihku/oknu. Avtorji spletnih mest lahko nadzorujejo to vedenje z dodajanjem target="_prazno" URL-jem, ki jih želijo odpreti v novem zavihku. Ta atribut usmerja brskalnik, da ob kliku odpre povezavo v novem zavihku. Toda atribut ima a znana varnostna težava ki na novo odprtim stranem omogoča uporabo JavaScripta za preusmeritev na drug URL. To predstavlja resno grožnjo, saj je lahko preusmerjeni URL spletno mesto, polno zlonamerne programske opreme, ali stran z lažnim predstavljanjem. Da bi to rešil, je Google Chrome dobil nov varnostni ukrep.
Kot je nedavno poročalo iz BleepingComputer pojasnjuje, da lahko avtorji spletnih mest že preprečijo, da bi novi zavihki uporabljali JavaScript za preusmeritev na drug URL z uporabo
rel="noopener" Atribut povezave HTML. Vendar pa morajo atribut ročno dodati vsaki povezavi z atributom target="_blank". Leta 2018 je Apple naredil spremembo v Safariju, ki je samodejno impliciral atribut noopener na povezave HTML, ki so uporabljale target="_blank". Zahvaljujoč temu je brskalnik samodejno zavaroval nove zavihke, tudi če avtor ni uporabil atributa rel="noopener". Prejšnji teden je razvijalec Microsoft Edge Eric Lawrence implementirali isto funkcijo v Chromiumu. To pomeni, da bo predstavljen tudi v vseh brskalnikih, ki temeljijo na Chromiumu, kot so Microsoft Edge, Google Chrome, Brave in drugi.V komentarju glede varnostnega ukrepa je Lawrence izjavil:
»Za ublažitev napadov »dremanja zavihkov«, pri katerih lahko nov zavihek/okno, ki ga odpre kontekst žrtve, krmari po tem odpiraču kontekstu se je standard HTML spremenil tako, da določa, da se morajo sidra, ki je target_blank, obnašati, kot da |rel="noopener"| je set. Stran, ki želi onemogočiti to vedenje, lahko nastavi |rel="opener"|."
Nov varnostni ukrep je trenutno omogočen v kanalu Chrome Canary in pričakuje se, da se bo prebil v stabilni kanal s Chromom 88 januarja naslednje leto. Kot smo že omenili, bo funkcija v bistvu pomenila atribut "noopener" na povezavah HTML, ki uporabljajo target="_blank" in prepreči, da bi strani uporabljale JavaScript za preusmeritev na novo stran, razen če je določeno drugače.
Ta novi varnostni ukrep prihaja le nekaj dni po tem, ko je Google zakrpal dve ranljivosti ničelnega dne v Chromu. Več o teh ranljivostih lahko preberete tako, da sledite ta povezava.