У браузері Google Chrome з’явиться нова захисна функція, яка повинна запобігти зміні відкритої сторінки при кліці на вставлене у неї посилання. Практика показує, що така підміна буває небезпечною: користувач може стати жертвою фішингу або інфікування шкідливим ПЗ.
Подібні JavaScript-трюки вже блокують Safari і Firefox, а з нового року ця можливість з’явиться і у браузерів на движку Chromium. Йдеться про посилання, впроваджуваних авторами публікацій в HTML-код з атрибутом “target = _blank”, пише ZDNet.
Під час активації такого посилання браузер відкриває нову сторінку в сусідній вкладці або окремому вікні. При цьому поточна сторінка зберігає зв’язок з попередньою через JavaScript-об’єкт window.opener і може відкрити інший URL у батьківській вкладці/вікні.
Зловмисники часто користуються цією можливістю для перенаправлення користувачів на свої сайти. В англомовних джерелах навіть з’явився термін, що характеризує такі редирект-атаки, “tab napping” – викрадення вкладок.
Щоб уникнути подібних неприємностей власникам сайтів рекомендується використовувати в HTML-посиланнях атрибут rel=”noopener” разом з “target=_blank”.
Виправити ситуацію допомогли розробники браузерів. Компанії Apple і Mozilla вже внесли зміни в свої проекти, і їх додатки визначають посилання з атрибутом “target =_blank” як такі, що містять також rel=”nooopener” – навіть у тих випадках, коли на сайті така вказівка відсутня.
Аналогічна функціональність була нещодавно додана в Chromium. Це означає, що скоро вона з’явиться у всіх браузерах, які використовують цей движок: Edge, Chrome, Brave та інших.
З огляду на запис на профільному ресурсі Google, адміністратори сайтів можуть відкотити внесені в Chromium зміни для окремих сторінок за допомогою атрибута rel=”opener”. Нововведення вже випробовується в Chrome Canary; на стабільному каналі воно стане доступним, ймовірно, у січні – з випуском Chrome 88.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.