I czas najwyższy, ponieważ Firefox i Safari mają taki mechanizm od dawna. A co zmieni się dla samych użytkowników?
Google pracuje nad nowym mechanizmem zabezpieczeń w Chrome. Ma on pojawić się w 88. edycji przeglądarki (planowana jest na styczeń 2021 roku) i zapobiegać przejmowaniu przez atakujących kart. Jest to jeden z klasycznych ataków typu "hijack", mający własne określenie: tab-nagging, co można przetłumaczyć jako "przejęcie zakładki". Jak to wygląda? Otóż internauta klika na link, który otwiera nową kartę. Ma ona cały czas dostęp do oryginalnej strony, na której znajdował się prowadzący do niej link. Poprzez skrypt Java o nazwie "window.opener", nowo otwarta witryna może modyfikować oryginalną stronę i przekierowywać na złośliwe strony.
W historii zdarzyło się już skuteczne przeprowadzenie kilku kampanii phishingowych w ten sposób. Dlatego producenci przeglądarek stworzyli atrybut rel="noopener", który ma blokować połączenia między witryną oryginalną, a nowo otwartą. Niestety, wiele witryn - w tym również porzucone - nie ma opcji jego obsługiwania, co naraża osobę wchodzącą na atak. Dlatego w 2018 roku Apple i Mozilla wprowadziły do swoich przeglądarek rel="noopener", który jest automatycznie dodawany do nowo otwieranych kart.
Zobacz: Firefox otrzyma (w końcu) mechanizm izolacji stron
Warto dodać, że jeśli implementacja atrybutu będzie udana, powinien on pojawić się również w innych bazujących na silniku Chromium przeglądarkach, jak Opera, Vivaldi, Brave czy oczywiście Edge.
Źródło zdjęć: Google
Źródło tekstu: ZDnet
