Firefox-beveiliging: rel = noopener voor target = _blank

Mozilla test momenteel een nieuwe beveiligingsfunctie in Firefox Nightly die automatisch rel = "noopener" toevoegt aan links die target = "_ blank" gebruiken.

Target = "_ blank" instrueert browsers om het linkdoel automatisch te openen in een nieuw tabblad in de webbrowser; zonder het doelkenmerk zouden links op hetzelfde tabblad worden geopend, tenzij gebruikers ingebouwde browserfunctionaliteit gebruiken, bijvoorbeeld door Ctrl of Shift ingedrukt te houden, om de link op een andere manier te openen.

Rel = "noopener wordt ondersteund door alle belangrijke webbrowsers. Het kenmerk zorgt ervoor dat window-opener null is in moderne browsers. Null betekent dat het geen waarde bevat.

Als rel = "noopener" niet is opgegeven, hebben gekoppelde bronnen volledige controle over het oorspronkelijke vensterobject, zelfs als de bronnen van verschillende oorsprong zijn. De bestemmingslink kan het oorspronkelijke document manipuleren, bijvoorbeeld vervangen door een lookalike voor phishing, er reclame op weergeven of op een andere denkbare manier manipuleren.

Je kunt hier een demo-pagina bekijken over misbruik van rel = "noopener". Het is onschadelijk maar benadrukt hoe bestemmingssites de oorspronkelijke site kunnen wijzigen als het kenmerk niet wordt gebruikt.

Rel = "noopener" beschermt het oorspronkelijke document. Webmasters kunnen - en moeten - rel = "noopener" specificeren wanneer ze target = "_ blank" gebruiken; we gebruiken het kenmerk op alle externe links hier al op deze site.

Apple heeft in oktober een wijziging in Safari doorgevoerd die rel = noopener automatisch toepast op elke link die target = _blank gebruikt.

De Nightly-versie van Firefox ondersteunt nu ook de beveiligingsfunctie. Mozilla wil gegevens verzamelen om ervoor te zorgen dat de verandering niets belangrijks op internet breekt.

De voorkeur dom.targetBlankNoOpener.enable bepaalt de functionaliteit. Het is alleen beschikbaar in Firefox 65 en standaard ingesteld op true (wat betekent dat rel = "_ noopener" is toegevoegd).

Firefox-gebruikers kunnen de voorkeur wijzigen om de functie uit te schakelen. Hoewel dit niet wordt aanbevolen vanwege de beveiligingsimplicaties, kunt u dit het beste doen als u compatibiliteitsproblemen ondervindt.

  1. Over laden: config? Filter = dom.targetBlankNoOpener.enable in de adresbalk van de browser.
  2. Bevestig dat u voorzichtig zult zijn als de waarschuwing wordt weergegeven.
  3. Dubbelklik op de voorkeur.

De waarde true betekent dat rel = "noopener" wordt toegevoegd aan koppelingen met target = "_ blank", de waarde false die dit niet is.

Mozilla richt zich op Firefox 65 voor de stabiele release. Dingen kunnen vertraging oplopen, afhankelijk van problemen die kunnen worden gemeld of opgemerkt. Firefox 65 wordt uitgebracht op 29 januari 2019. (via Sören Hentzschel)