tabnagging - Se protéger du Phishing grâce à l'attribut noopener Imprimer

  • 0

Savez qu'un simple lien sortant peut ouvrir des failles de sécurité importantes ? En effet l'attribut « target="_blank" » qui sert à ouvrir la cible d'un lien dans une nouvelle page ou un nouvel onglet suivant le navigateur comporterait de grandes failles de sécurité. (notamment via des attaques par phishing nommé le tabnagging).

 

Qu'est ce que le tabnagging?

C'est une toute nouvelle technique de phishing qui va transformer la page visitée lorsque vous ne la regarderez plus. Plus précisément, l'utilisateur va changer d'onglet, et pendant que le site sait que vous êtes sur un onglet différent, il va changer le nom de la page dans l'onglet ainsi que son icone.

 

C'est d'ailleurs pour cela que Wordpress à automatiquement décidé de mettre en place la sécurisation automatique de tous les liens ajoutés en target=blank via l’ajout automatique de deux attributs : noopener et noreferrer

Ces deux attributs ont deux rôles différents mais complémentaires dont voici quelques détails :

 

L’attribut Noopener

Cet attribut orienté sécurité permet dans ce sens, de rendre l’utilisation du javascript avec «window.opener» nulle. Ainsi, toutes modifications de l’URL sur la page de référence via « window.opener.location = nouvelleURL » seront interdites !

 
Exemple simple :
<a href="https://site-cible.com" target="_blank" rel="noreferrer noopener"  />

 

L’attribut Noreferrer

Cet attribut « rel="noreferrer" » empêche les sites externes visés via les liens hypertextes, d’obtenir des informations sur l’origine du trafic sur Google Analytics par exemple. De ce fait, il leur sera impossible de savoir que vous avez fait un lien vers eux et que vous leur amenez du trafic en referrer.

Bien entendu cela peut être assez gênant lors de partenariats ainsi que la mise en place d’affiliation, n'abusez donc pas de cet attribut.

 

 

A savoir que ces 2 attributs n’ont aucun impact sur votre SEO. D'ailleurs, un autre attribut orienté SEO, lui, peut venir s'ajouter à vos paramètres : Il s'agit du Nofollow. Certainement l'attribut le plus connu, qui indique simplement aux moteurs de recherche de ne pas suivre le lien de telle page lors du crawl de notre site web.

 

A savoir que les nouveaux attributs noreferrer et noopener sont très bien supportés par les navigateurs qui ont rapidement adoptés ces normes.


Cette réponse était-elle pertinente?

« Retour