События

Использование атрибута target=_blank в ссылках повышает риск фишинговых атак

Использование атрибута target=_blank в ссылках повышает риск фишинговых атак

Сайты, использующие атрибут target="_blank" в своих ссылках, подвергают пользователей риску фишинговых атак и, соответственно, утечки данных. Об уязвимости target="_blank" стало известно два года назад, однако она до сих пор присутствует на многих популярных ресурсах.

Суть уязвимости заключается в следующем: когда пользователь переходит по ссылке, использующей target="_blank", браузер открывает новую вкладку. Данная вкладка на короткое время получает доступ к странице-источнику через объект window.opener. Таким образом, только что открытая вкладка может изменить window.opener.location, то есть вместо предыдущей вкладки незаметно подгрузить совсем другую страницу.

К примеру, если пользователь перейдет по ссылке (использующей атрибут target="_blank") в Facebook, злоумышленник может незаметно заменить страницу подделкой, которая позже уведомит жертву о необходимости заново авторизоваться. Таким образом, учетные данные жертвы окажутся в руках преступника.

Разработчик Бен Хэлперн (Ben Halpern) составил список крупных сайтов, уязвимых к данному методу атаки. В их числе оказались Instagram, Facebook и Twitter (если ссылки открываются в браузере Safari). Исследователь проинформировал компании об уязвимости, но на сегодняшний день она исправлена только в Instagram.

Разработчик предложил свой метод предотвращения эксплуатации данной проблемы. Он заключается в добавлении атрибута rel="noopener" во все ссылки на сайте. Поскольку браузер Mozilla Firefox не полностью поддерживает данный атрибут, вместо rel="noopener" может использоваться rel="noopener noreferrer".

Автор: Сергей Куприянов
2.09.2016 (15:05)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.