Categories: BrowserWorkspace

Chrome blockiert künftig URL-Umleitungen per JavaScript

Der Google-Browser Chrome erhält eine neue Sicherheitsfunktion, die unerwünschte Weiterleitungen unterbinden soll. Sie soll verhindern, dass ein in eine Website eingebetteter Link Nutzer per JavaScript zu einer schädlichen Seite führt. Derzeit ist die neue Funktion bereits in Chrome Canary aktiv, wie Bleeping Computer berichtet.

Ein Link in einer HTML-Seite lässt sich über das Attribut target=“_blank“ in einem neuen Fenster öffnen. Eine Schwachstelle erlaubt es jedoch, der in einem neuen Fenster oder Tab geöffneten Seite, per JavaScript eine vollkommen andere Seite als die verlinkte zu öffnen. Hacker können Nutzer so auf Phishing-Websites umleiten oder auf Seiten, die schädliche Dateien automatisch herunterladen.

Um diese Lücke zu schließen, wurde das Link-Attribut rel=“noopener“ geschaffen. Es verhindert, dass die neu geöffnete Seite eine Weiterleitung per JavaScript ausführt.

Die neue Sicherheitsfunktion veranlasst Chrome, grundsätzlich alle HTML-Links mit dem Attribut so zu behandeln, als sei auch das Attribut „noopener“ gesetzt. Somit auch dann Links in neuen Tabs oder Fenstern sicher, die nicht mit diesem Attribut versehen wurde.

Chrome erhält das Feature, weil es dem Bericht zufolge in der vergangenen Woche vom Microsoft-Edge-Entwickler Eric Lawrence zur Codebasis von Chromium hinzugefügt wurde, der Open-Source-Version von Chrome, auf der auch Edge basiert. Damit steht die Änderung auch allen anderen auf Chromium aufbauenden Browsern zur Verfügung, also neben Chrome auch Opera und Brave.

Websiteentwickler, die dieses automatische Verhalten nicht wünschen, müssen künftig das Attribut rel=“opener“ setzen. Damit scheint es allerdings grundsätzlich auch Cyberkriminellen möglich zu sein, die Sicherheitsfunktion zu umgehen.

Der Allgemeinheit wird die neue Funktion mit Chrome 88 zur Verfügung stehen. Die Veröffentlichung dieser Version ist im Januar 2021 geplant.

Chrome ist allerdings nicht der erste Browser, der Nutzer vor unerwünschten Weiterleitungen per JavaScript schützen will. Apple Safari unterstützt die Funktion bereits seit 2018.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago