Google Chrome krijgt bescherming tegen "tab-napping" aanvallen

[Captain Kirk]

Google Chrome en andere Chromium-gebaseerde browsers krijgen bescherming tegen zogeheten "tab-napping" aanvallen. Dat heeft Chrome-ontwikkelaar Mike West via Twitter bekendgemaakt. Bij tab-napping kan een nieuw geopende tab de tab waar die vandaan werd geopend naar een andere url doorsturen. Dit is mogelijk door gebruik te maken van het het attribuut target="_blank" voor externe links in combinatie met JavaScript.

Wanneer een gebruiker op een link klikt die van het attribuut target="_blank" is voorzien een nieuwe tab geopend. Door gebruik te maken van de JavaScript-functie window.opener kan de nieuw geopende tab de originele pagina aanpassen en zo een malafide pagina laden. Wanneer de gebruiker terug naar deze tab gaat kan de originele pagina bijvoorbeeld zijn vervangen door een phishingsite.

Om dergelijke redirects te voorkomen werd het attribuut rel="noopener" voor html-links bedacht. Er zijn echter websites waar target="_blank" nog steeds voor links wordt gebruikt. Voor dergelijke situaties besloten Firefox en Safari om in 2018 voor alle links met target="_blank" automatisch het noopener-attribuut toe te passen en zo de link op een veilige manier te openen.

Microsoft Edge-ontwikkelaar Eric Lawrence heeft de feature nu aan Chromium toegevoegd, de opensourcebrowser die de basis voor Chrome, Brave en Chromium Edge vormt. De feature is inmiddels in een vroege testversie van Chrome beschikbaar en staat gepland voor de releaseversie van Chrome 88, die volgend jaar januari moet uitkomen.

bron: https://www.security.nl