Firefox güvenliği: rel = target = _blank için noopener

Mozilla, Firefox Nightly’de şu anda hedef = "_ blank" kullanan bağlantılara otomatik olarak rel = "noopener" ekleyen yeni bir güvenlik özelliğini test ediyor.

Hedef = "_ blank", tarayıcılardan bağlantı hedefini web tarayıcısındaki yeni bir sekmede otomatik olarak açmasını ister; hedef niteliği olmadan kullanıcılar, yerleşik tarayıcı işlevini kullanmadıkça, örneğin Ctrl veya Shift tuşunu basılı tutarak, bağlantıyı farklı bir şekilde açmak için bağlantılar aynı sekmede açılır.

Rel = "noopener tüm büyük web tarayıcıları tarafından desteklenir. Bu özellik, pencere açıcısının modern tarayıcılarda boş olmasını sağlar. Null, değeri olmadığını gösterir.

Rel = "noopener" belirtilmezse, kaynaklar farklı kaynaklarda olsa bile bağlantılı kaynaklar kaynak pencere nesnesi üzerinde tam denetime sahiptir. Hedef link, kaynak belgeyi manipüle edebilir, örneğin, kimlik avı yapmak için bir bakış açısıyla değiştirebilir, üzerinde reklam gösterebilir veya akla gelebilecek herhangi bir şekilde manipüle edebilir.

Buradaki rel = "noopener" suistimali ile ilgili demo sayfasını inceleyebilirsiniz. Zararsız ancak özellik kullanılmazsa hedef sitelerin kaynak siteyi nasıl değiştirebileceğini vurgular.

Rel = "noopener" kaynak belgeyi korur. Web yöneticileri, her ne zaman target = "_ blank" kullandıklarında rel = "noopener"; bu sitede zaten tüm harici linklerde bu özelliği kullanıyoruz.

Apple, Ekim ayında, Safari = target = _blank kullanan herhangi bir bağlantıya otomatik olarak rel = noopener uygulayan bir değişiklik yaptı.

Firefox’un Nightly sürümü şimdi güvenlik özelliğini de destekliyor. Mozilla, değişikliğin İnternet’te önemli bir şeyi bozmadığından emin olmak için veri toplamak istiyor.

Dom.targetBlankNoOpener.enable tercihi işlevselliği kontrol eder. Yalnızca Firefox 65'te bulunur ve varsayılan olarak true değerine ayarlanır (yani rel = "_ noopener" eklenir).

Firefox kullanıcıları özelliği kapatma tercihini değiştirebilir. Güvenlik uygulamaları nedeniyle tavsiye edilmese de, uyumluluk sorunları yaşarsanız, bunu yapmak isteyebilirsiniz.

  1. Yaklaşık yükle: config? Filter = tarayıcının adres çubuğunda dom.targetBlankNoOpener.enable.
  2. Uyarı mesajı görüntülenirse dikkatli olacağınızı onaylayın.
  3. Tercih üzerine çift tıklayın.

True değeri, target = "_ blank" olan bağlantılara rel = "noopener" eklenmesi anlamına gelir;

Mozilla, Kararlı sürüm için Firefox 65'i hedefliyor. Bildirilebilecek veya farkedilebilecek konulara bağlı olarak işler gecikebilir. Firefox 65, 29 Ocak 2019'da piyasaya sürülecek. (Sören Hentzschel aracılığıyla)