Chrome će da blokira tab-nabbing napade
Google će primeniti novu bezbednosnu funkciju u Chrome-u sledeće godine. Ova funkcija će sprečiti tab-nabbing, vrstu web napada koja omogućava novootvorenim tabovima da preotmu originalni tab sa mesta na kojem je otvoren.
Firefox i Safari već blokiraju ove vrste web napada
Nova funkcija bi trebalo da bude dostupna sa Chrome 88, a biće objavljena u januaru 2021. Iako se pojam „ tab-nabbing“ odnosi na široku klasu napada, Google se bavi određenim scenarijem – ovaj scenario se odnosi na situacije kada korisnici kliknu na link, a link se otvori na novom tabu (putem atributa “target = _blank”). Ovi novi tabovi imaju pristup originalnoj stranici koja je otvorila novi link.
Putem JavaScript funkcije “window.opener”, novootvoreni tabovi mogu izmeniti originalnu stranicu i preusmeriti korisnike na zlonamerne web lokacije. Ova vrsta napada pokrenula je niz phishing kampanja tokom godina. Da bi ublažili ovu pretnju, proizvođači pregledača kao što su Apple, Google i Mozilla stvorili su rel=”noopener” attribute.
Tokom poslednjih nekoliko godina, istraživači bezbednosti i vrhunski web programeri neprestano se zalažu za to da vlasnici web lokacija dodaju rel = “noopener” svim linkovima gde su takođe koristili atribut “target = _blank” kao način da blokiraju napade na tabove. Međutim, većina današnjih web lokacija na kraju je napuštena ili vlasnici web lokacija nemaju vremena da prate najnovije trendove u web razvoju i web bezbednosti. Zbog toga su 2018. i Apple i Mozilla počeli da ugrađuju atribut rel = “noopener” i automatski ga dodaju na sve novootvorene kartice u Safari-ju i Firefox-u. Sa Chrome-om 88, Google će sustići druga dva glavna proizvođača browsera.
Pored dodavanja ove funkcije u Chrome, nova zaštita od tab-nabbinga biće dodata i svim ostalim pregledačima zasnovanim na Chromium-u, kao što su Edge, Opera, Vivaldi i Brave.
Izvor: Zdnet