Celah target=”_blank” Pada Link Website

JS NEWS Apabila suatu link diikuti dengan atribut target=”_blank” dan link tersebut diklik oleh pengguna, browser akan membuka tab baru yang berisi link website.

Secara teknis, ketika link baru dibuka, tab baru akan berkomunikasi dengan tab awal yang berisi link menggunakan fitur pada browser yang dinamakan window.opener.

Apabila website yang akan dibuka ternyata dimodifikasi dengan menaruh kode berbahaya, website tersebut dapat memaksa tab awal untuk membuka suatu website baru kembali. Celah keamanan ini juga dikenal dengan nama reverse tabnabbing.

Apabila Anda mengklik link yang menggunakan target=”_blank” pada suatu website seperti Facebook atau Twitter, pemilik website yang dibuka dapat mengganti website Facebook yang terbuka di tab awal  dengan website yang mirip dengan Facebook yang nantinya dapat meminta pengguna untuk login ulang sehingga informasi akun pun dapat tercuri. Hal ini merupakan tindakan phising atau penipuan yang berbahaya.

Ben Halpern sebagai seorang developer mengidentifikasikan website-website terkenal yang dapat terkenal ancaman keamanan target=”_blank”, mencakupi Instagram, Facebook dan Twitter.

Celah keamanan reverse tabnabbing bukanlah hal baru. Pada tahun 2014, sudah ada developer yang berbagi informasi mengenai celah keamanan yang memanfaatkan keamanan target=”_blank” di GitHub.

Instagram telah memperbaiki celah keamanan ini sedangkan Twitter pun berusaha menutup celah keamanan ini dengan menggunakan script untuk untuk menghindari reverse tabnabbing  namun hanya hanya saja tidak berjalan di browser Safari.

Google sendiri di halaman Bughunter University mengatakan jika memang banyak laporan mengenai reverse tabnabbing, namun hal ini sebenarnya merupakan kesalahan dari sistem suatu website saja. Webmaster dan pemilik website-lah yang dapat bertanggung jawab atas keamanan website mereka.

Cara yang paling mudah untuk menghindari ancaman phising ketika membuka website pada tab baru yaitu dengan menambahkan atribut pada suatu link. Untuk Firefox yang tidak mendukung atribut tersebut, developer harus menambahkan rel=”noopener noreferrer”.

Sumber : PC Media 09/2016

Share Is Cool

Leave a Reply

Your email address will not be published.