Na czym polega przechwytywanie kart i jak mu przeciwdziałać?
Technika tab-nabbingu (przechwytywania kart) jest używana w różnych atakach, w tym w kampaniach phishingowych, które przekierowują ofiary do złośliwych witryn. Można jej w dość prosty sposób przeciwdziałać, o ile hiperłącza na danej witrynie są zaprojektowany w odpowiedni sposób.
Omawiany tu exploit wykorzystuje fakt, że po otwarciu odsyłacza w nowej karcie przy użyciu atrybutu target = _blank nowe karty zachowują dostęp do oryginalnej strony. Ponadto, funkcja JavaScript window.opener może być używana do przekierowywania ludzi do złośliwej witryny poprzez modyfikację oryginalnej strony. Jeśli dana witryna korzysta z atrybutu rel=”noopener”, wykorzystanie exploitu staje się niemożliwe. Niestety, nie wszystkie witryny korzystają z tej metody.
Chrome 88 przyniesie małą rewolucję automatyzując ten proces
Chrome 88 będzie pierwszym wydaniem, które będzie automatycznie dodawać parametr rel=”noopener” do wszystkich nowootwieranych kart przeglądarki. To samo dzieje się już teraz chociażby w przeglądarkach Firefox i Safari. Ba, Mozilla i Apple wprowadziły tę funkcję do swoich programów już w 2018 roku. Dlaczego w przypadku Google wszystko trwało tak długo? Trudno powiedzieć.
Przeglądarka internetowa Chrome 88 zadebiutuje najpewniej w styczniu 2021 roku. Wraz z jej premierą funkcja trafi zapewne także do innych przeglądarek wykorzystujących silnik Chromium. Użytkownicy programów Opera i Edge skorzystają z niej prawdopodobnie w późniejszym terminie.