Il team di sviluppo di Chromium, progetto ideato da Google che funge da laboratorio per Chrome e, grazie alla sua distribuzione sotto licenza libera, costituisce la spina dorsale di molti browser concorrenti come Microsoft Edge, Opera e Vivaldi, ha annunciato l’introduzione di una nuova funzionalità di sicurezza che proteggerà gli utenti dagli attacchi phishing.
Presto Chrome, Edge e gli altri browser basati su Chromium porranno fine al fenomeno chiamato tabnapping.
Si tratta di un’astuta modalità di attacco che sfrutta un particolare attributo HTML e il comportamento predefinito dei browser web.
Gli sviluppatori di siti web possono utilizzare l’attributo opzionale target="_blank"
specificandolo all’interno di un tag <a href>
che, com’è noto, consente di inserire un collegamento ipertestuale (link) in qualsiasi pagina HTML.
Tale attributo fa sì che al clic sul link il sito di destinazione sia aperto in una scheda a sé mantenendo comunque visualizzata la pagina di provenienza.
Se il webmaster non ha cura di specificare l’attributo aggiuntivo rel="nooopener"
, la pagina di destinazione potrebbe sfruttare semplice codice JavaScript per reindirizzare l’utente verso un’altra pagina che pone in essere attività truffaldine. Complice l’URL visualizzato nella barra degli indirizzi, l’utente ritiene di trovarsi sul sito di destinazione specificato nel link quando in realtà viene visualizzata una pagina completamente diversa.
Nel 2018 Apple aveva modificato il codice del suo browser Safari in modo tale da aggiungere l’attributo rel="nooopener"
a tutti i link nei quali viene usato target="_blank"
.
Chromium, Chrome e gli altri browser applicheranno presto la medesima strategia: in presenza dell’attributo target="_blank"
l’aggiunta di rel="nooopener"
verrà effettuata in automatico.
Il nuovo comportamento è già stato abilitato in Chrome Canary ovvero nella più recente versione non definitiva del browser di Google e quasi sicuramente dovrebbe debuttare a gennaio 2021 con il rilascio di Chrome 88.
L’aggiunta dell’attributo rel="nooopener"
può essere comunque nel frattempo effettuata agendo sulla struttura delle singole pagine web, agendo sui vari link, oppure usando codice Javascript per trattare automaticamente tutti gli <a href>
.