Mozilla wird vermutlich in Firefox 65, der voraussichtlich am 29. Januar 2019 erscheinen wird, eine Sicherheitslücke schließen, die eigentlich keine ist. Trotzdem erhöht diese Änderung die Sicherheit der Firefox-Nutzer erheblich. Die Erklärung von Mozilla-Repräsentant Sören Hentzschel.
Wenn Sie auf einen Link auf einer Webseite klicken und sich die Webseite hinter diesem Link in einem neuen Browser-Tab öffnet, dann hat der Webentwickler den HTML-Attribut target=“_blank“ hinter die URL im Quelltext eingefügt.
Das Problem bei diesem HTML-Befehl: Hacker können das target-Attribut _blank für Angriffe auf die verlinkende Webseite nutzen. Indem die Angreifer von der Webseite, auf die verlinkt wird, via Javascript unerlaubterweise auf die verlinkende Webseite zugreifen.
Die Webseitenprogrammierer können diese Sicherheitslücke zwar selbst schließen, indem sie zu target=“_blank“ noch rel=“noopener“ hinzufügen. Doch genau das vergessen viele Webseitenentwickler, wie Sören Hentzschel schreibt, beziehungsweise die Webentwickler sind sich der Phishinggefahr überhaupt nicht bewusst.
Deshalb löst Mozilla dieses Problem nun ursächlich – und Firefox denkt sozusagen für die Webentwickler mit. Ab Firefox 65 soll der Browser rel=“noopener“ automatisch beim Öffnen eines Links verwenden, wenn der Webentwickler target=“_blank“ in den Quellcode der Seite geschrieben hat. Laut Hentschel soll die Verwendung von rel=“noopener“ zusätzlich auch noch einen Performance-Vorteil bieten. Will der Webentwickler explizit nicht rel=“noopener“ bei target=“_blank“ verwenden, dann muss er im Quellcode ausdrücklich rel=“opener“ eintragen. Apple handhabt das laut Hentzschel bei Safari genauso.
Mozilla testet das standardmäßige Setzen von rel=“noopener“ derzeit bei den Nightly Builds von Firefox 65. Sollten dabei keine Kompatibilitätsprobleme entdeckt werden, will Mozilla rel=“noopener“ als Default-Einstellung mit Firefox 65 frei geben. Sollte es allerdings Kompatibilitätsprobleme bei bestimmten Webseiten geben, dann verschiebt Mozilla die Einführung von rel=“noopener“ noch etwas.
Firefox 64 bekommt Task-Manager für Webseiten und Erweiterungen