Google Chrome для пом’якшення «зависання вкладок», блокуючи переспрямування в нових вкладках або вікнах

короткий огляд новин XdaNov 13, 2023
click fraud protection

Google Chrome отримує новий захід безпеки, який пом’якшить «зависання вкладок», блокуючи переспрямування в нових вкладках або вікнах.

Можливо, ви спостерігали одну з двох дій під час натискання посилань на будь-якому веб-сайті: посилання або відкривається на тій самій вкладці, або відкривається в новій вкладці/вікні. Автори веб-сайтів можуть контролювати цю поведінку, додавши target="_blank" до URL-адрес, які вони хочуть відкрити в новій вкладці. Цей атрибут спрямовує браузер відкривати посилання в новій вкладці після натискання. Але атрибут має a відома проблема безпеки що дозволяє щойно відкритим сторінкам використовувати JavaScript для перенаправлення вас на іншу URL-адресу. Це становить серйозну загрозу, оскільки переспрямована URL-адреса може бути веб-сайтом із шкідливим програмним забезпеченням або фішинговою сторінкою. Щоб вирішити цю проблему, Google Chrome отримує новий засіб безпеки.

Як нещодавній звіт з BleepingComputer пояснює, автори веб-сайтів уже можуть заборонити новим вкладкам використовувати JavaScript для переспрямування на іншу URL-адресу за допомогою

rel="noopener" Атрибут посилання HTML. Однак вони повинні вручну додавати атрибут до кожного посилання з атрибутом target="_blank". У 2018 році Apple вніс зміни у Safari, який автоматично передбачав атрибут noopener для посилань HTML, які використовували target="_blank". Завдяки цьому браузер автоматично захищав нові вкладки, навіть якщо автор не використовував атрибут rel="noopener". Минулого тижня розробник Microsoft Edge Ерік Лоуренс реалізовано ту саму функцію у Chromium. Це означає, що він також буде представлений у всіх браузерах на базі Chromium, таких як Microsoft Edge, Google Chrome, Brave тощо.

У коментарі щодо заходу безпеки Лоуренс зазначив:

«Щоб пом’якшити атаки «переривання вкладок», під час яких нова вкладка/вікно, відкрите контекстом жертви, може переходити до цього відкривача контексті, стандарт HTML змінено, щоб визначити, що прив’язки, які target_blank, мають поводитися так, ніби |rel="noopener"| є встановити. Сторінка, яка бажає відмовитися від такої поведінки, може встановити |rel="opener"|."

Новий захід безпеки наразі ввімкнено в каналі Chrome Canary, і очікується, що він потрапить у стабільний канал із Chrome 88 у січні наступного року. Як згадувалося раніше, функція по суті означатиме атрибут "noopener" у HTML-посиланнях, які використовують target="_blank" і заборонити сторінкам використовувати JavaScript для переспрямування на нову сторінку, якщо це не зазначено інакше.

Цей новий захід безпеки з’явився лише через кілька днів після того, як Google виправив дві вразливості нульового дня в Chrome. Ви можете прочитати більше про ці вразливості, перейшовши за посиланням це посилання.