エグウェブ.JP@福岡/WEBセミナー・分析・WEBサイト制作

皆様の人生に最良のファーストステップを。福岡でWEB分析やホームページ・WEBサイト作成・WordPress、Googleアナリティクス、LINEスタンプ、Adobe Photshop・illustrator、Excel等の講座やセミナーを開催。

target=”_blank” のセキュリティリスク?rel “noopener noreferrer”の設定

time 2017/12/28

target=”_blank”を設定している場合で、 rel=”noopener noreferrer”を設定していない場合、リンク先のサイトがwindow.opener.location = http://external-site.comというJavascriptを設定していると、リンク先のサイトがリンク元のURL を変える事が可能となってしまいます。

タブナビング(Tabnabbing)というフィッシング詐欺等で使われる手法です。

 

タブナビング(Tabnabbing)

Webブラウザーのタブ表示機能を利用したフィッシングの一種で、ブラウザーのアクティブでないタブの中身をユーザーが気づかないうちにSNSや銀行などの偽ログインページに書き変えてしまうという攻撃手法。

①見た目が普通のサイト https://site.example.jp を準備

②”https://site2.example.com/login” をhttps://site.example.jp/loginと全く同じログイン画面にする

③https://site.example.jpに window.opener.location = “https://site2.example.com/login” を仕込む

④ユーザーが別ウィンドウを開いた時に、元のURLが変わっていてなぜかログイン画面になっている。

⑤ログイン情報を打ち込んでしまう。

⑥最後に元URLにリダイレクトさせる(あたかもログイン成功に見える)

 

アナログな方法かもしれませんが、もしこの手法を使っているサイトがあった場合、リンク先が開いた時に元タブのURLが変わっている可能性があります。リンク先が別ウィンドウで開いたときは、

「既に開いているタブがいつの間にか別のサイトに変わっているかもしれない」

ということをブラウザを扱っている際に少し意識しておくべきかもしれません。

 

WordPress4.7.4~ ではセキュリティ対策として、「target=”_blank”(新しいタブでリンクを開く)」が指定されている場合は、「rel=”noopener noreferrer”」属性が自動的に付加されるようになったようです。

おすすめ記事

プロフィール

EGUWEB

EGUWEB

WEBサイトを作りたい!WEB分析を学びたいけど分からない。とりあえず色々と知りたい!皆様の悩みを解決できるように頑張ります。 [詳細]

カテゴリー

人気の投稿(全期間)

★今週の1冊★