Link-Sicherheit target blank - rel=noopener

Wenn ich auf den Link von Marco13 klicke wird nicht nur sein Link in einem neuen Tab geöffnet sondern auch im ausgehenden Tab werde ich auf https://dev.to/phishing umgeleitet. Kann sich das mal ein Admin ansehen?

@AmunRa Was das beduetet, erschließt sich mir gerade nicht. War wohl auch zuu off-Topic. Ich werd die (jetzt dann drei) OT-Antworten nachher löschen, wenn nichts dagegen spricht.

[edid SlaterB: Löschen vor allem auf den lustigen Link am Anfang bezogen]

naja, Löschen ist etwas viel, die Phishing-Seite liest sich ja recht interessant,

ob der aktuelle Link etwas damit zu tun hat oder ob man hier im Forum oder sonstwo etwas erreichen kann, fraglich,
aber für sich ja trotzdem ein Thema was sich lohnt

@Marco13 ich weis ehrlich auch nicht in wieweit das eine Sicherheitslücke ist, aber der hinterlegte Link legt nahe, dass der Webseitenbetreiber sich gegen dieses Verhalten schützen sollte.

Bin ich der einzige, bei dem dieses Verhalten auftritt?
@SlaterB

Die dev.to Leute legen nahe, dass man bei target="_blank" auch immer rel="noopener noreferrer" mit angibt. Vl kann man das in einem Template für Links hier im Forum hinterlegen.

Hab’ den Beitrag mal gelöscht, war eh zu OT.
[edid SlaterB: den lustigen Link am Anfang gelöscht]

Ansonsten hätte ich das auch so interpretiert, dass da der “dev.to”-Verantwortliche was “falsch” gemacht hat.

Ich hatte da nichts bemerkt. Ganz normaler Link. Ganz normales Tab. Hm.

Das kann ich nicht beurteilen, weil ich keinen unbekannten/fragwürdigen Links folge. :wink: (scnr)

Nein, die dev.to leute haben auf ihrer Seite ein script hinterlegt. das einfach immer wenn du über einen Link auf ihrer Seite gelangst prüft ob deine Webseite ( hier eben unser Forum ) sich gegen diese Vulnerability schützt.

In wieweit das eine echte vulnerability ist, kann ich nicht beurteilen, da aber Instagramm anscheinend auf Grund von dev.to ihre Links geändert haben, sollten wir das hier vl auch tun https://dev.to/ben/the-targetblank-vulnerability-by-example

Nope, kam bei mir auch

Tabnapping ist bekannt, aber da es auf ‘offiziellen’ Browser API beruht, kann man sich kaum umfassend dagegen schützen. Habe da auch schon einige Seiten darauf hingewiesen, aber da kam meistens eben genau diese Antwort. byte-welt.net benutzt schon mal nicht rel=“noopener” das würde schon mal ein wenig schützen.
Eine Sicherheitslücke ist es dadurch, dass ich gezielt den Link auf Facebook platzieren könnte und dann im Hintergrund den ursprünglichen Tab auf eine Phishing Seite umleiten.

wie funktioniert es denn technisch, das Problem ist doch anscheinend einzig der Browser, der solche unerhörten Spiele mitmacht,
es gibt erstmal festzustellen keine direkte Möglichkeit aktuell, etwa Firefox mitzuteilen sich nicht wie ein Firephone von Samsung zu benehmen?

rel=“noopener” ist aber für Firefox pro Link einzeln dann doch der Hinweis, nicht völlig bescheuert zu sein?

man müsste glatt mal wieder einen eignenen Browser programmieren, der das ’ rel=“noopener” ’ automatisch an jeden Link anbaut,
wenn nicht gleichzeitig die Erkenntnis käme, dass man einen eigenen Browser natürlich von vornherein nie so zerstörerisch bauen würde,
dass sich etwas im aufrufenden Tab ändern kann…,
oder auch nur dass Informationen dazu im Hintergrund mitgegeben werden


gibt es ein Plugin für Firefox, welches in angezeigten Seiten alle Links auf sicher umstellt?..
edit:
https://addons.mozilla.org/de/firefox/addon/targetkiller/
?

edit:

If you use the target="_blank" attribute on a link, and do not accompany it with a rel=“noopener” attribute [… then you are unlucky]

wird denn dieses Target genutzt? die meisten Links sind doch leer, haben gar keine besonderen Angaben?

edit:
ach ja doch…, Seitenquelltext:
<a h ref="ht tps://addons.mozilla.org/de/firefox/addon/targetkiller/" target="_blank" rel="nofollow">

letztes edit vielleicht :wink: :
wenn Links nicht mehr in neuen Tabs geöffnet werden durch TargetKiller geht natürlich bewußt gutes verloren, warum nicht das noopener ergänzen…

edit: einer geht noch:
sieht ja nach gewisser aktueller Bearbeitung dazu aus, zumindest Unterstützung rel=noopener :


mit Lesezeichen sicher keine Gefahr :wink: , wie stellt sich das für die böse Webseite dar, kein if (window.opener)?..

Ahso, ich hatte das mal unter Tabnabbing (ohne “s”, mit “b”) kennengelernt, als ich über web browser - What is ‘tabnabbing’? - Information Security Stack Exchange gestolpert bin. Mir war aber nicht richtig bewußt, dass da eine referierte Seite die refereniernde “beeinflussen” kann (was ja hier anscheinend der Fall ist!?).

Na, gut dass ein Browser eine Sandbox ist (in der man nicht mal Dateien lesen kann, wegen der Sicherheit hust )

*** Edit ***

EDIT: BTW, ich habe immer NoScript an, das mag ein Grund sein, weswegen das bei mir nicht ohne weiteres funktioniert hat.

Die URL-Tags könnte man möglicherweise anpassen, aber den Parser? Ich meine, was, wenn jemand einfach nur eine URL im Fließtext ohne Tags einfügt. Die werden vom Parser in URLs in Tags umgewandelt… Das zu finden kann dauern und hohen Aufwand bedeuten.

Das verstehe ich nicht. Wo ist darin der Unterschied? Egal wie es eingegeben wurde, in der Datenbank landet [noparse]Example Domain[/noparse]. Angepasst werden müsste lediglich der Templatetext für den URL-BBCode.

Möglich. Da ist was dran…