Firefox
7 Reaktionen

Firefox 52 erhält Unterstützung für rel=noopener

Geschätzte Lesedauer:

Die Verwendung von target=“_blank“ in Webseiten-Links ist nicht nur praktisch, um Seiten standardmäßig in einem neuen Tab öffnen zu lassen, es handelt sich dabei gleichzeitig auch um eine unterschätzte Sicherheitslücke. Eine Lösung dagegen ist die Verwendung von rel=“noopener“, was Firefox ab Version 52 unterstützen wird.

Jeder Webentwickler kennt das target-Attribut mit seinem Wert _blank, um vom Benutzer geklickte Links auf Webseiten standardmäßig in einem neuen Tab statt im gleichen Tab aufrufen zu lassen. Was aber nur die Wenigsten wissen: es handelt sich dabei um eine Sicherheitslücke, welche Phishing ermöglicht.

Die Lösung für Webseitenbetreiber ist einfach: wird target=“_blank“ verwendet, ist gleichzeitig auch noch rel=“noopener“ zu verwenden. Diesen Tipp findet man auf zahlreichen Webseiten, welche jedoch auch ergänzen, dass Firefox dies nicht unterstützt und für eine browserübergreifende Lösung rel=“noopener noreferrer“ zu verwenden ist. Diese Ergänzung ist ab Firefox 52 obsolet, denn dann unterstützt Firefox auch rel=“noopener“.

Zusammengefasst: Webseiten-Entwickler sollten statt

[pastacode lang=“markup“ manual=“%3Ca%20href%3D%22https%3A%2F%2Fwww.soeren-hentzschel.at%22%20target%3D%22_blank%22%3ELinktext%3C%2Fa%3E“ message=“HTML“ highlight=““ provider=“manual“/]

… folgenden Code verwenden:

[pastacode lang=“markup“ manual=“%3Ca%20href%3D%22https%3A%2F%2Fwww.soeren-hentzschel.at%22%20target%3D%22_blank%22%20rel%3D%22noopener%22%3ELinktext%3C%2Fa%3E“ message=“HTML“ highlight=““ provider=“manual“/]

Bonuspunkt: Die Verwendung von rel=“noopener“ liefert gleichzeitig auch noch einen Performance-Vorteil gegenüber dem Weglassen.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

6 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Jan
    schrieb am :

    Warum ist das noopener Verhalten nicht der Normalfall ?

    Wann möchte man das jemals haben, dass eine verlinkte Seite auf einer anderen Domain die linkende Seite beinflussen kann ?

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es gibt dafür Anwendungsfälle (einfach mal nach Beispielen für window.opener suchen), aber grundsätzlich ist es ja auch so, dass Browser implementieren, was der Standard vorgibt. Und das Verhalten eines so verbreiteten Web-Features kann nachträglich nicht einfach geändert werden.

  3. schrieb am :

    Super Sören,

    da hast du mich aber auf was Neues gebracht. Ich habe mich gerade weitergehend belesen und werde noopener beginnen zu verwenden. Deinen Hinweis finde ich aber nicht nur in Kombination mit Webdesign interessant, sondern eben auch in Kombination mit Wissen um Penetrationstests, welches ich mir aktuell aneigne.

    Der normale Internetuser hat ja zumeist auch kaum nur einen Schimmer, wie leicht sich unethische Handlungsweisen im Internet realisieren lassen. Leider wirklich sogar von Script-Kiddies.

    Als Mehrwert des Kommentars würde ich gerne eine Empfehlung mitgeben. Nicht als Aufforderung gedacht, sondern als Hinweis, sich mehr mit Sicherheitsrelevanten Themen zu beschäftigen:

    Schlagwort "Google Hacking". Man suche doch mal bei exploit-db.com nach "wordpress". Dadurch und folglich listet einem Google bekannte Schwachstellen, welche die Bots zufällig indexiert haben. Man muss nur Google zu bedienen wissen und wissen nach was man sucht – that's all. Und das ist in 2 Minuten möglich. Ich habe es überprüft, sofern es bei älteren Exploits noch geht: schau die Suchresultate an; die Websites sind alle völlig demoliert – oder schon wieder neu aufgebaut worden. So viele Webuser bauen sich unbedacht Sicherheitslücken in ihr Umfeld… Kein Wunder, das Internetkriminalität jährlich kontinuierlich zunimmt: der User wisse sich in dieser digitalen Welt zumeist einfach nicht zu schützen.

    (Das betrachten solcher Informationen ist in Deutschland nicht strafbar. In wie weit man sich in solch Gefilde vortastet sollte bedacht sein, denn Schadcode ist schneller auf dem PC, als es der User vermutet [aber da waren wir ja bereits]).

    Seid gegrüßt!

    Paul

  4. Knut
    schrieb am :

    Ich verwende seit Jahren statt _blank als Target einen (variablen) Begriff aus dem Link, also z.B. den Namen der verlinkten Website. Besteht die Pishing-Schwachstellen dann auch oder nur bei _blank?

  5. Philip
    schrieb am :

    Ich habe diese Nachricht eben gesehen, weil ich mich mit dem Thema „rel noopener“ beschäftigt habe und dieses Tag nun auch bei meinen Sites benutzen möchte.

    Die anderen Browser unterstützen aber das alles normal oder? Nicht das Chrome und auch Safari da erst Firefox hinterher ziehen müssen.

    Danke für diesen sehr hilfreichen und informativen Post.

    Viele Grüße,
    Philip

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo,

    http://caniuse.com/#feat=rel-noopener

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.

  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen