Was ist Tabnabbing?
Darüber wurden bereits viele Artikel geschrieben, zum Beispiel
dieser über
OWASP .
Kurz gesagt: Steuern Sie die Browser-Registerkarte über eine untergeordnete Registerkarte, die mit target = "_ blank" geöffnet ist. Wenn Sie einen Link zu einer externen Site mit target = "_ blank"
festlegen , hat die Site Zugriff auf
window.opener , über den Sie die
Position der Registerkarte ändern können,
von der aus der Link führt. Alle wichtigen Dienste, mit denen Sie Links einbetten können, schützen den Benutzer vor diesem Verhalten, indem Sie
rel = "noopener" oder eine
Proxyseite hinzufügen.
Ja, auch wenn es in Yandex.Mail war - es wurde erkannt und geschlossen.
Aber nicht in Turbo-Seiten
Ich habe einen Bericht gesendet, dass alle in die Turbo-Seite eingefügten Links für Tabnabbing anfällig sind - im Inhalt und im Menü. Der Websitebesitzer kann dort beliebige Links einfügen. Und am wichtigsten ist, dass Turboseiten in erster Linie mobilen Clients angezeigt werden, die aufgrund dieser Sicherheitsanfälligkeit anfälliger für Betrug sind, weil Aufgrund der minimalistischen Benutzeroberfläche werden URL-Seiten häufig nicht angezeigt.
Ein Beispiel für einen anfälligen Menülink:
Was ich diese Antwort erhalten habe (zwei Monate später und Anfragen, auf Twitter zu antworten):
Und warum ist das so schlimm?
Obwohl dieses Verhalten in der Spezifikation beschrieben ist, ist es für den Benutzer nicht sehr offensichtlich. Der Benutzer erwartet nicht, dass sich die Registerkarte, auf die er geklickt hat, ändern kann.
Im besten Fall wird die Turboseite durch ein riesiges Pornobanner und im schlimmsten Fall durch eine Kopie der Turboseite mit einem Anmeldekennwort ersetzt. Riesiger Spielraum für Phishing!
Wie im Rest der Welt halte ich dies für eine Sicherheitslücke.
Was denkst du?