Chrome blockiert künftig URL-Umleitungen per JavaScript

Eine neue Sicherheitsfunktion beseitigt automatisch eine Schwachstelle des HTML-Attributs target="_blank". Sie setzt stets das Attribut "noopener". Das Feature basiert auf einem Code-Beitrag von Microsoft.

Der Google-Browser Chrome erhält eine neue Sicherheitsfunktion, die unerwünschte Weiterleitungen unterbinden soll. Sie soll verhindern, dass ein in eine Website eingebetteter Link Nutzer per JavaScript zu einer schädlichen Seite führt. Derzeit ist die neue Funktion bereits in Chrome Canary aktiv, wie Bleeping Computer berichtet.

Google Chrome (Bild: Google)Ein Link in einer HTML-Seite lässt sich über das Attribut target=“_blank“ in einem neuen Fenster öffnen. Eine Schwachstelle erlaubt es jedoch, der in einem neuen Fenster oder Tab geöffneten Seite, per JavaScript eine vollkommen andere Seite als die verlinkte zu öffnen. Hacker können Nutzer so auf Phishing-Websites umleiten oder auf Seiten, die schädliche Dateien automatisch herunterladen.

Um diese Lücke zu schließen, wurde das Link-Attribut rel=“noopener“ geschaffen. Es verhindert, dass die neu geöffnete Seite eine Weiterleitung per JavaScript ausführt.

Die neue Sicherheitsfunktion veranlasst Chrome, grundsätzlich alle HTML-Links mit dem Attribut so zu behandeln, als sei auch das Attribut „noopener“ gesetzt. Somit auch dann Links in neuen Tabs oder Fenstern sicher, die nicht mit diesem Attribut versehen wurde.

Chrome erhält das Feature, weil es dem Bericht zufolge in der vergangenen Woche vom Microsoft-Edge-Entwickler Eric Lawrence zur Codebasis von Chromium hinzugefügt wurde, der Open-Source-Version von Chrome, auf der auch Edge basiert. Damit steht die Änderung auch allen anderen auf Chromium aufbauenden Browsern zur Verfügung, also neben Chrome auch Opera und Brave.

Websiteentwickler, die dieses automatische Verhalten nicht wünschen, müssen künftig das Attribut rel=“opener“ setzen. Damit scheint es allerdings grundsätzlich auch Cyberkriminellen möglich zu sein, die Sicherheitsfunktion zu umgehen.

Der Allgemeinheit wird die neue Funktion mit Chrome 88 zur Verfügung stehen. Die Veröffentlichung dieser Version ist im Januar 2021 geplant.

Chrome ist allerdings nicht der erste Browser, der Nutzer vor unerwünschten Weiterleitungen per JavaScript schützen will. Apple Safari unterstützt die Funktion bereits seit 2018.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Themenseiten: Browser, Chrome, Google, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Chrome blockiert künftig URL-Umleitungen per JavaScript

Kommentar hinzufügen
  • Am 11. November 2020 um 7:47 von Vinto

    Ich verstehe nicht ganz, was dieses Attribut bringen soll, wenn die Entwickler selbst es setzen können?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *