Chrome krijgt eindelijk een broodnodige anti-hijacking functie

Google Chrome
(Beeld: Shutterstpck)

Google brengt een beveiligingsfunctie naar Chrome die ons moet beschermen tegen tab-hijacking. Safari en Firefox gingen de browser al voor.

Een techniek genaamd tabnabbing wordt in verschillende aanvallen gebruikt, waaronder phishingaanvallen die slachtoffers naar boosaardige sites doorverwijst. Met Chrome 88 is Google van plan om meer bescherming te bieden tegen een bepaalde variant van deze dreiging.

Tabnabbing kan worden vermeden als websites op een bepaalde manier gecodeerd zijn. De exploit maakt misbruik van het feit dat links die in een nieuw tabblad geopend zijn het kenmerk target=_blank gebruiken, waardoor nieuwe tabbladen toegang blijven houden tot de originele pagina.

De window.opener JavaScript-functie kan worden gebruikt om internetgebruikers direct naar een kwaadaardige website om te leiden door de originele pagina aan te passen. Als een website gebruik maakt van het kenmerk rel="noopener", dan wordt de exploit gestopt. Dit gebeurt echter lang niet bij alle websites, vooral niet bij de oudere die niet langer worden bijgewerkt.

Chrome 88

Google gaat rel="noopener" eindelijk automatisch gebruiken voor elk nieuw geopende tabblad. Dit gebeurt al in Firefox en Safari. Het is niet duidelijk waarom Google hier zo lang over heeft gedaan. Mozilla en Apple introduceerden deze veiligheidsmaatregelen al in 2018. 

De beveiligingsupdate komt terecht in Chrome 88, dat in januari 2021 moet verschijnen. Dezelfde functie wordt ook beschikbaar voor Chromium-browsers zoals Edge en Opera. Exacte releasedata hiervoor zijn nog niet bekend.

Via ZDNet