O navegador Google Chrome recebeu um novo recurso que corrige um problema antigo e aumenta a segurança dos usuários ao clicarem em links de páginas da web que abrem em uma nova janela ou guia.
A medida faz parte de uma série de melhorias de segurança que os navegadores baseados em Chromium vem recebendo.
Ao inserir links em uma página HTML, o código pode incluir target="_blank", atributo que informa ao navegador para abrir o link em uma nova guia após o clique. Veja o exemplo abaixo.
<a href="https://tecfoco.com.br/" target="_blank">TecFoco</a>
Este atributo tem um problema de segurança antigo, conhecido por permitir que a página recém-aberta utilize código JavaScript para redirecionar a página original para um endereço diferente.
Esse novo endereço redirecionado pode ser manipulado por um agente de ameaça ou hacker, incluindo páginas de phishing ou páginas que baixam arquivos maliciosos automaticamente.
Por exemplo, suponha que criamos um link para outro site em nosso artigo e usamos o atributo target="_ blank".
Nesse caso, os hackers podem usar JavaScript para redirecionar nosso artigo para uma página de phishing solicitando as credenciais do TeFoco.
Para evitar que isso aconteça, um atributo de link HTML rel="noopener" foi criado para impedir que uma nova guia use JavaScript de redirecionamento, e até então, era a única alternativa para proteger o código da página.
Incluir atributo noopener automaticamente em links com target="_ blank"
Em 2018, para aumentar a segurança, a Apple fez uma mudança em seu navegador Safari que trata todos os links HTML que utilizam target="_ blank" para aplicar automaticamente o atributo noopener.
Com esse recurso habilitado, mesmo que um site não use rel="noopener" em suas URL's, o navegador ainda protegerá o endereço da nova página.
Na semana passada, Eric Lawrence, desenvolvedor do Microsoft Edge, adicionou esse mesmo recurso ao Chromium, o que significa que também será adicionado ao Edge, Chrome, Brave e outros navegadores baseados em Chromium.
"Para mitigar ataques de 'tab-napping', nos quais uma nova guia ou janela aberta pela vítima pode navegar nesse contexto de abertura, o padrão HTML foi alterado para especificar que as âncoras que têm como alvo '_blank' devem se comportar como se rel='noopener' estivesse definido. Uma página que deseja cancelar esse comportamento pode definir rel='noopener", disse Lawrence.
Este recurso já está habilitado no Chrome Canary e deve ser lançado para o navegador padrão do Chrome na sua versão 88, prevista para janeiro de 2021.
Fonte: Chromium
