Categories: BrowserWorkspace

Chrome blockiert künftig URL-Umleitungen per JavaScript

Der Google-Browser Chrome erhält eine neue Sicherheitsfunktion, die unerwünschte Weiterleitungen unterbinden soll. Sie soll verhindern, dass ein in eine Website eingebetteter Link Nutzer per JavaScript zu einer schädlichen Seite führt. Derzeit ist die neue Funktion bereits in Chrome Canary aktiv, wie Bleeping Computer berichtet.

Ein Link in einer HTML-Seite lässt sich über das Attribut target=“_blank“ in einem neuen Fenster öffnen. Eine Schwachstelle erlaubt es jedoch, der in einem neuen Fenster oder Tab geöffneten Seite, per JavaScript eine vollkommen andere Seite als die verlinkte zu öffnen. Hacker können Nutzer so auf Phishing-Websites umleiten oder auf Seiten, die schädliche Dateien automatisch herunterladen.

Um diese Lücke zu schließen, wurde das Link-Attribut rel=“noopener“ geschaffen. Es verhindert, dass die neu geöffnete Seite eine Weiterleitung per JavaScript ausführt.

Die neue Sicherheitsfunktion veranlasst Chrome, grundsätzlich alle HTML-Links mit dem Attribut so zu behandeln, als sei auch das Attribut „noopener“ gesetzt. Somit auch dann Links in neuen Tabs oder Fenstern sicher, die nicht mit diesem Attribut versehen wurde.

Chrome erhält das Feature, weil es dem Bericht zufolge in der vergangenen Woche vom Microsoft-Edge-Entwickler Eric Lawrence zur Codebasis von Chromium hinzugefügt wurde, der Open-Source-Version von Chrome, auf der auch Edge basiert. Damit steht die Änderung auch allen anderen auf Chromium aufbauenden Browsern zur Verfügung, also neben Chrome auch Opera und Brave.

Websiteentwickler, die dieses automatische Verhalten nicht wünschen, müssen künftig das Attribut rel=“opener“ setzen. Damit scheint es allerdings grundsätzlich auch Cyberkriminellen möglich zu sein, die Sicherheitsfunktion zu umgehen.

Der Allgemeinheit wird die neue Funktion mit Chrome 88 zur Verfügung stehen. Die Veröffentlichung dieser Version ist im Januar 2021 geplant.

Chrome ist allerdings nicht der erste Browser, der Nutzer vor unerwünschten Weiterleitungen per JavaScript schützen will. Apple Safari unterstützt die Funktion bereits seit 2018.

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jetzt registrieren und Aufzeichnung ansehen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.