Google Chrome เพื่อลด "การงีบแท็บ" โดยการบล็อกการเปลี่ยนเส้นทางในแท็บหรือหน้าต่างใหม่

สรุปข่าว XdaNov 13, 2023

Google Chrome ได้รับมาตรการรักษาความปลอดภัยใหม่ที่จะช่วยลด "การงีบแท็บ" โดยการบล็อกการเปลี่ยนเส้นทางในแท็บหรือหน้าต่างใหม่

คุณอาจสังเกตเห็นพฤติกรรมอย่างหนึ่งจากสองลักษณะนี้เมื่อคลิกลิงก์บนเว็บไซต์ใดๆ ลิงก์นั้นจะเปิดขึ้นในแท็บเดียวกัน หรือจะเปิดขึ้นในแท็บ/หน้าต่างใหม่ ผู้เขียนเว็บไซต์สามารถควบคุมพฤติกรรมนี้ได้โดยการเพิ่ม เป้าหมาย = "_blank" ระบุแอตทริบิวต์ของ URL ที่ต้องการเปิดในแท็บใหม่ คุณลักษณะนี้กำหนดให้เบราว์เซอร์เปิดลิงก์ในแท็บใหม่เมื่อคลิก แต่คุณลักษณะนั้นมี ปัญหาด้านความปลอดภัยที่ทราบ ที่ช่วยให้หน้าที่เพิ่งเปิดใหม่ใช้ JavaScript เพื่อเปลี่ยนเส้นทางคุณไปยัง URL อื่น สิ่งนี้ก่อให้เกิดภัยคุกคามร้ายแรง เนื่องจาก URL ที่เปลี่ยนเส้นทางอาจเป็นเว็บไซต์ที่เต็มไปด้วยมัลแวร์หรือหน้าฟิชชิ่ง เพื่อแก้ไขปัญหานี้ Google Chrome จึงได้รับมาตรการรักษาความปลอดภัยใหม่

ตามรายงานล่าสุดจาก Bleepingคอมพิวเตอร์ อธิบายว่าผู้เขียนเว็บไซต์สามารถป้องกันไม่ให้แท็บใหม่ใช้ JavaScript เพื่อเปลี่ยนเส้นทางไปยัง URL อื่นได้โดยใช้ rel="noopener" แอตทริบิวต์ลิงก์ HTML อย่างไรก็ตาม พวกเขาจะต้องเพิ่มแอตทริบิวต์ให้กับทุกลิงก์ด้วยแอตทริบิวต์ target="_blank" ด้วยตนเอง ย้อนกลับไปในปี 2018 แอปเปิล

ทำการเปลี่ยนแปลง ใน Safari ที่บอกเป็นนัยถึงแอตทริบิวต์ noopener บนลิงก์ HTML ที่ใช้ target="_blank" โดยอัตโนมัติ ด้วยเหตุนี้ เบราว์เซอร์จึงรักษาความปลอดภัยให้กับแท็บใหม่โดยอัตโนมัติ แม้ว่าผู้เขียนจะไม่ได้ใช้แอตทริบิวต์ rel="noopener" ก็ตาม เมื่อสัปดาห์ที่แล้ว Eric Lawrence ผู้พัฒนา Microsoft Edge ใช้คุณสมบัติเดียวกัน ในโครเมียม ซึ่งหมายความว่าจะมีการเปิดตัวในเบราว์เซอร์ที่ใช้ Chromium ทั้งหมด เช่น Microsoft Edge, Google Chrome, Brave และอีกมากมาย

ในความคิดเห็นเกี่ยวกับมาตรการรักษาความปลอดภัย Lawrence กล่าวว่า:

"เพื่อบรรเทาการโจมตีแบบ "การงีบแท็บ" ซึ่งแท็บ/หน้าต่างใหม่ที่เปิดโดยบริบทของเหยื่ออาจนำทางตัวเปิดนั้น บริบท มาตรฐาน HTML เปลี่ยนไปเพื่อระบุว่าจุดยึดที่ target_blank ควรทำงานเหมือนกับ |rel="noopener"| เป็น ชุด. เพจที่ต้องการยกเลิกพฤติกรรมนี้อาจตั้งค่า |rel="opener"|."

ขณะนี้มาตรการรักษาความปลอดภัยใหม่เปิดใช้งานในช่อง Chrome Canary และคาดว่าจะเข้าสู่ช่องทางเสถียรด้วย Chrome 88 ในเดือนมกราคมปีหน้า ตามที่กล่าวไว้ข้างต้น คุณลักษณะนี้จะสื่อถึงแอตทริบิวต์ "noopener" บนลิงก์ HTML ที่ใช้เป็นหลัก target="_blank" และป้องกันไม่ให้เพจใช้ JavaScript เพื่อเปลี่ยนเส้นทางไปยังเพจใหม่ เว้นแต่จะระบุไว้ มิฉะนั้น.

มาตรการรักษาความปลอดภัยใหม่นี้เกิดขึ้นเพียงไม่กี่วันหลังจากที่ Google ได้แก้ไขช่องโหว่แบบ Zero-day สองช่องโหว่ใน Chrome คุณสามารถอ่านเพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้ได้โดยทำตาม ลิงค์นี้.