Google Chrome får en ny säkerhetsåtgärd som kommer att mildra "tab-napping" genom att blockera omdirigeringar i nya flikar eller fönster.
Du kan ha observerat ett av två beteenden när du klickade på länkar på vilken webbplats som helst - länken öppnas antingen på samma flik eller så öppnas den i en ny flik/fönster. Webbplatsförfattare kan kontrollera detta beteende genom att lägga till target="_blank" attribut till webbadresser som de vill öppna på en ny flik. Det här attributet styr webbläsaren att öppna länken på en ny flik när den klickas. Men attributet har en känt säkerhetsproblem som låter nyöppnade sidor använda JavaScript för att omdirigera dig till en annan URL. Detta utgör ett allvarligt hot, eftersom den omdirigerade webbadressen möjligen kan vara en webbplats med skadlig programvara eller en nätfiskesida. För att åtgärda detta får Google Chrome en ny säkerhetsåtgärd.
Som en färsk rapport från Bleeping Computer förklarar kan webbplatsförfattare redan förhindra nya flikar från att använda JavaScript för att omdirigera till en annan URL genom att använda
rel="noopener" HTML-länkattribut. De måste dock lägga till attributet manuellt till varje länk med attributet target="_blank". Tillbaka 2018, Apple gjort en förändring i Safari som automatiskt antydde noopener-attributet på HTML-länkar som använde target="_blank". Tack vare detta säkrade webbläsaren automatiskt nya flikar även om författaren inte använde attributet rel="noopener". Förra veckan, Microsoft Edge-utvecklaren Eric Lawrence implementerat samma funktion i Chromium. Detta innebär att det också kommer att introduceras i alla Chromium-baserade webbläsare, som Microsoft Edge, Google Chrome, Brave och mer.I en kommentar angående säkerhetsåtgärden sa Lawrence:
"För att mildra "tab-napping"-attacker, där en ny flik/fönster som öppnas av en offerkontext kan navigera i den öppnaren kontext ändrades HTML-standarden för att specificera att ankare som target_blank ska bete sig som om |rel="noopener"| är uppsättning. En sida som vill välja bort detta beteende kan ställa in |rel="opener"|."
Den nya säkerhetsåtgärden är för närvarande aktiverad i Chrome Canary-kanalen och den förväntas ta sig till den stabila kanalen med Chrome 88 i januari nästa år. Som nämnts tidigare kommer funktionen i huvudsak att innebära "noopener"-attributet på HTML-länkar som används target="_blank" och förhindra sidor från att använda JavaScript för att omdirigera till en ny sida, om inget annat anges annat.
Denna nya säkerhetsåtgärd kommer bara några dagar efter att Google korrigerade två nolldagarssårbarheter i Chrome. Du kan läsa mer om dessa sårbarheter genom att följa den här länken.