5 Reaktionen

Firefox 52 erhält Unterstützung für rel=noopener

Geschätzte Lesedauer:

Die Verwendung von target=“_blank“ in Webseiten-Links ist nicht nur praktisch, um Seiten standardmäßig in einem neuen Tab öffnen zu lassen, es handelt sich dabei gleichzeitig auch um eine unterschätzte Sicherheitslücke. Eine Lösung dagegen ist die Verwendung von rel=“noopener“, was Firefox ab Version 52 unterstützen wird.

Jeder Webentwickler kennt das target-Attribut mit seinem Wert _blank, um vom Benutzer geklickte Links auf Webseiten standardmäßig in einem neuen Tab statt im gleichen Tab aufrufen zu lassen. Was aber nur die Wenigsten wissen: es handelt sich dabei um eine Sicherheitslücke, welche Phishing ermöglicht.

Die Lösung für Webseitenbetreiber ist einfach: wird target=“_blank“ verwendet, ist gleichzeitig auch noch rel=“noopener“ zu verwenden. Diesen Tipp findet man auf zahlreichen Webseiten, welche jedoch auch ergänzen, dass Firefox dies nicht unterstützt und für eine browserübergreifende Lösung rel=“noopener noreferrer“ zu verwenden ist. Diese Ergänzung ist ab Firefox 52 obsolet, denn dann unterstützt Firefox auch rel=“noopener“.

Zusammengefasst: Webseiten-Entwickler sollten statt

HTML
<a href="https://www.soeren-hentzschel.at" target="_blank">Linktext</a>

… folgenden Code verwenden:

HTML
<a href="https://www.soeren-hentzschel.at" target="_blank" rel="noopener">Linktext</a>

Bonuspunkt: Die Verwendung von rel=“noopener“ liefert gleichzeitig auch noch einen Performance-Vorteil gegenüber dem Weglassen.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

4 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Jan
    schrieb am :

    Warum ist das noopener Verhalten nicht der Normalfall ?

    Wann möchte man das jemals haben, dass eine verlinkte Seite auf einer anderen Domain die linkende Seite beinflussen kann ?

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es gibt dafür Anwendungsfälle (einfach mal nach Beispielen für window.opener suchen), aber grundsätzlich ist es ja auch so, dass Browser implementieren, was der Standard vorgibt. Und das Verhalten eines so verbreiteten Web-Features kann nachträglich nicht einfach geändert werden.

  3. schrieb am :

    Super Sören,

    da hast du mich aber auf was Neues gebracht. Ich habe mich gerade weitergehend belesen und werde noopener beginnen zu verwenden. Deinen Hinweis finde ich aber nicht nur in Kombination mit Webdesign interessant, sondern eben auch in Kombination mit Wissen um Penetrationstests, welches ich mir aktuell aneigne.

    Der normale Internetuser hat ja zumeist auch kaum nur einen Schimmer, wie leicht sich unethische Handlungsweisen im Internet realisieren lassen. Leider wirklich sogar von Script-Kiddies.

    Als Mehrwert des Kommentars würde ich gerne eine Empfehlung mitgeben. Nicht als Aufforderung gedacht, sondern als Hinweis, sich mehr mit Sicherheitsrelevanten Themen zu beschäftigen:

    Schlagwort "Google Hacking". Man suche doch mal bei exploit-db.com nach "wordpress". Dadurch und folglich listet einem Google bekannte Schwachstellen, welche die Bots zufällig indexiert haben. Man muss nur Google zu bedienen wissen und wissen nach was man sucht – that's all. Und das ist in 2 Minuten möglich. Ich habe es überprüft, sofern es bei älteren Exploits noch geht: schau die Suchresultate an; die Websites sind alle völlig demoliert – oder schon wieder neu aufgebaut worden. So viele Webuser bauen sich unbedacht Sicherheitslücken in ihr Umfeld… Kein Wunder, das Internetkriminalität jährlich kontinuierlich zunimmt: der User wisse sich in dieser digitalen Welt zumeist einfach nicht zu schützen.

    (Das betrachten solcher Informationen ist in Deutschland nicht strafbar. In wie weit man sich in solch Gefilde vortastet sollte bedacht sein, denn Schadcode ist schneller auf dem PC, als es der User vermutet [aber da waren wir ja bereits]).

    Seid gegrüßt!

    Paul

  4. Knut
    schrieb am :

    Ich verwende seit Jahren statt _blank als Target einen (variablen) Begriff aus dem Link, also z.B. den Namen der verlinkten Website. Besteht die Pishing-Schwachstellen dann auch oder nur bei _blank?

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.