¿Qué es el tabnabbing?
Ya se han escrito muchos artículos sobre esto, por ejemplo,
este en
OWASP .
En resumen: controle la pestaña del navegador a través de una pestaña secundaria abierta con target = "_ blank". Al establecer un enlace a un sitio externo con target = "_ blank", el sitio tendrá acceso a
window.opener , a través del cual puede cambiar la
ubicación de la pestaña desde la que conduce el enlace. Todos los servicios principales que le permiten incrustar enlaces protegen al usuario de este comportamiento agregando
rel = "noopener" o una página proxy.
Sí, incluso cuando estaba en Yandex.Mail: fue reconocido y cerrado.
Pero no en Turbo Pages
Envié un informe de que todos los enlaces insertados en la página turbo son vulnerables a la tabulación, en el contenido y en el menú. El propietario del sitio puede insertar cualquier enlace allí. Y lo más importante, las páginas turbo se muestran principalmente a clientes móviles, que son más propensos al fraude a través de esta vulnerabilidad, porque a menudo no veo páginas de URL debido a la interfaz minimalista.
Un ejemplo de un enlace de menú vulnerable:
Lo que recibí esta respuesta (dos meses después y solicitudes de respuesta en Twitter):
¿Y por qué es esto malo?
Aunque este comportamiento se describe en la especificación, no es muy obvio para el usuario. El usuario no espera que la pestaña con la que hizo clic pueda cambiar.
En el mejor de los casos, la página turbo será reemplazada por un gran banner pornográfico y, en el peor, una copia de la página turbo con un formulario de contraseña de inicio de sesión, por ejemplo. ¡Gran alcance para el phishing!
Como en el resto del mundo, considero que esto es una vulnerabilidad.
Que piensas