Target="_blank" : La vulnerabilidad más subestimada

Un ataque de phishing poco conocido

Las personas que usan vínculos target="_ blank" normalmente no tienen idea de este curioso hecho:

La página que estamos enlazando ganan acceso parcial a la página de enlace a través del objeto window.opener.

La pestaña recién abierta puede, por ejemplo, cambiar la posición window.opener.location a alguna página de phishing. O ejecutar en su nombre algún JavaScript en la página de apertura... Los usuarios confían en la página que ya está abierta, y no sospechan.

Ejemplo de ataque: crear una falsa página "viral" con imágenes de chicas lindas, chistes o lo que sea, al ser compartido en Facebook (que es conocido por abrir los enlaces a través de _blank) y, cada vez que alguien hace clic en el enlace, se ejecuta

window.opener.location = 'https://fakewebsite/facebook.com/PHISHING-PAGE.html';

...redirigiendo a una página que pide al usuario volver a introducir su contraseña de Facebook.

Como arreglarlo

Añade esto a sus enlaces salientes:

rel="noopener"

Firefox no soporta "noopener" por lo que debes agregar esto:

rel="noopener"

así:

<a href="/enlace-saliente.html" target="_blank" rel="noopener"/>

Recuerda que cada vez que abras una nueva ventana a través de window.open(); también eres "vulnerable" a esto, así que siempre reinicia la propiedad "opener".

var newWnd = window.open();
newWnd.opener = null;

PD. Curiosamente, a Google no parece importarle.