Chrome začne blokovat nebezpečná přesměrování URL. I zásluhou Microsoftu
11.11.2020, Jáchym Šlik, aktualita
Prohlížeče založené na jádru Chromium budou brzy zase o něco bezpečnější. Nový atribut v HTML zabrání nebezpečným přesměrováním odkazů otevřených v novém okně. Funkcí, která zamíří i do prohlížeče Chrome, přispěl do projektu vývojář Microsoftu.
Internet je plný různých hrozeb, které se snaží využít nepozornosti či neznalosti uživatelů. A někdy se mohou nechat snadno napálit i zkušenější uživatelé. Dlouhodobé riziko představuje přesměrování stránek pomocí JavaScriptu, které mohou útočníci zneužít po otevření odkazu na nové kartě v prohlížeči. Zatímco Apple vyřešil tuto hrozbu ve svém prohlížeči Safari již před dvěma lety, uživatelé většiny konkurenčních prohlížečů se dočkají až nyní. Nová bezpečnostní funkce se objeví ve web browserech založených na jádru Chromium, jako jsou Google Chrome, Microsoft Edge, Opera nebo Vivaldi.
V čem tedy vidí bezpečnostní experti problém? Do odkazu na stránku HTML může být vložen atribut target = “_ blank”, který informuje internetový prohlížeč, aby došlo k otevření odkazu na nové kartě. Zatímco pro administrátory webu je to velmi užitečná funkce, v případě zneužití se jedná o bezpečnostní riziko. Útočník totiž může použít JavaScript k přesměrování na jakoukoliv jinou adresu – od vcelku neškodné stránky plné reklam až po web, který se snaží do stažení malwaru do počítače. Potenciálně nejvíc nebezpečný ovšem v takovém případě může být phishing, kdy se stránka vydává za původní web, ze kterého byl uživatel přesměrován, a požaduje třeba zadání citlivých osobních údajů.
Jako řešení byl v minulosti vytvořen HTML atribut rel="noopener", který brání nově otevřené kartě v přesměrování pomocí JavaScriptu na jinou URL. Samotný atribut je ovšem k ničemu, pokud jej stránky nepoužívají. Své o tom ví Apple, který ve svém prohlížeči Safari automaticky přidává atribut rel="noopener" ke každé otevřené adrese. Brzy stejnou funkci získají prohlížeče, které využívají open-source jádro Chromium. Zdaleka se nejedná pouze o Google Chrome, ale od nedávna také Microsoft Edge. Nová funkce je aktuálně povolena v experimentálním vydání prohlížeče Chrome Canary a do stabilního sestavení by se mohl dostat od verze 88, která bude vydána v lednu 2021.
S tímto jednoduchý, ale přitom pro bezpečnost uživatelů významným řešením přišel vývojář Eric Lawrence, který pracuje na prohlížeči Microsoft Edge. Vzhledem k tomu, že jsou oba browsery založeny na stejném jádru Chromium, sdílejí spolu řadu funkcí. Není to tedy poprvé ani naposled, co pomohl Chrome vylepšit vývojář z Microsoftu. V minulosti třeba Lawrence upravil, jakým způsobem Chrome otevírá přetažené soubory. Spolupráce samozřejmě funguje i naopak, takže Edge těží ze spousty vychytávek, kterými do projektu Chromium přispěl Google.
Zdroj: Bleepingcomputer.com