Использование атрибута target=_blank в ссылках повышает риск фишинговых атак

Сайты, использующие атрибут target="_blank" в своих ссылках, подвергают пользователей риску фишинговых атак и, соответственно, утечки данных. Об уязвимости target="_blank" стало известно два года назад, однако она до сих пор присутствует на многих популярных ресурсах.

Суть уязвимости заключается в следующем: когда пользователь переходит по ссылке, использующей target="_blank", браузер открывает новую вкладку. Данная вкладка на короткое время получает доступ к странице-источнику через объект window.opener. Таким образом, только что открытая вкладка может изменить window.opener.location, то есть вместо предыдущей вкладки незаметно подгрузить совсем другую страницу.

К примеру, если пользователь перейдет по ссылке (использующей атрибут target="_blank") в Facebook, злоумышленник может незаметно заменить страницу подделкой, которая позже уведомит жертву о необходимости заново авторизоваться. Таким образом, учетные данные жертвы окажутся в руках преступника.

Разработчик Бен Хэлперн (Ben Halpern) составил список крупных сайтов, уязвимых к данному методу атаки. В их числе оказались Instagram, Facebook и Twitter (если ссылки открываются в браузере Safari). Исследователь проинформировал компании об уязвимости, но на сегодняшний день она исправлена только в Instagram.

Разработчик предложил свой метод предотвращения эксплуатации данной проблемы. Он заключается в добавлении атрибута rel="noopener" во все ссылки на сайте. Поскольку браузер Mozilla Firefox не полностью поддерживает данный атрибут, вместо rel="noopener" может использоваться rel="noopener noreferrer".