Chrome zyska funkcję, na którą czekaliśmy od lat

Maksym SłomskiSkomentuj
Chrome zyska funkcję, na którą czekaliśmy od lat
{reklama-artykul}Czasami aż trudno jest uwierzyć w to, że użytkownicy najpopularniejszych aplikacji na świecie muszą często przez bardzo długi czas czekać na wprowadzenie do nich funkcji, które wydają się być zasadniczymi z punktu widzenia bezpieczeństwa. Tak właśnie jest z przeglądarką internetową Google Chrome i implementacją funkcji przeciwdziałającej zjawisku tab-nabbingu. Ta pojawi się w stabilnym wydaniu Chrome 88.

Na czym polega przechwytywanie kart i jak mu przeciwdziałać?

Technika tab-nabbingu (przechwytywania kart) jest używana w różnych atakach, w tym w kampaniach phishingowych, które przekierowują ofiary do złośliwych witryn. Można jej w dość prosty sposób przeciwdziałać, o ile hiperłącza na danej witrynie są zaprojektowany w odpowiedni sposób.

tab nabbing

Schemat działania tab-nabbingu. | Źródło: OWASP

Omawiany tu exploit wykorzystuje fakt, że po otwarciu odsyłacza w nowej karcie przy użyciu atrybutu target = _blank nowe karty zachowują dostęp do oryginalnej strony. Ponadto, funkcja JavaScript window.opener może być używana do przekierowywania ludzi do złośliwej witryny poprzez modyfikację oryginalnej strony. Jeśli dana witryna korzysta z atrybutu rel=”noopener”, wykorzystanie exploitu staje się niemożliwe. Niestety, nie wszystkie witryny korzystają z tej metody.

Chrome 88 przyniesie małą rewolucję automatyzując ten proces

Chrome 88 będzie pierwszym wydaniem, które będzie automatycznie dodawać parametr rel=”noopener” do wszystkich nowootwieranych kart przeglądarki. To samo dzieje się już teraz chociażby w przeglądarkach Firefox i Safari. Ba, Mozilla i Apple wprowadziły tę funkcję do swoich programów już w 2018 roku. Dlaczego w przypadku Google wszystko trwało tak długo? Trudno powiedzieć.

Przeglądarka internetowa Chrome 88 zadebiutuje najpewniej w styczniu 2021 roku. Wraz z jej premierą funkcja trafi zapewne także do innych przeglądarek wykorzystujących silnik Chromium. Użytkownicy programów Opera i Edge skorzystają z niej prawdopodobnie w późniejszym terminie.

Źródło: Chrome, OWASP

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.