Яндекс не считает Tabnabbing уязвимостью

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Что такое Tabnabbing?


Про это написано уже множество статей, например, эта и на OWASP.

Если вкратце — управление вкладкой браузера через дочернюю вкладку, открытую с target="_blank". Установив ссылку на внешний сайт с target="_blank", сайт будет иметь доступ к window.opener, через который можно сменить location у вкладки, с которой ведет ссылка. Все крупные сервисы, разрешающие вставлять ссылки, защищают пользователя от такого поведения через добавление rel=«noopener» или прокси-страницу.

Да даже когда такая была в Яндекс.Почте — ее признали и закрыли.

Но не в Турбо-страницах


Отправил репорт о том, что все ссылки, вставленные в турбо-страницу, уязвимы к tabnabbing — в контенте и в меню. Владелец сайт может вставить туда любые ссылки. И самое главное — турбо-страницы показываются преимущественно мобильным клиентам, которые в большей мере подвержены обману через эту уязвимость, т.к. часто не видят урл страницы из-за минималистичного интерфейса.

Пример уязвимой ссылки в меню:

image

На что получил такой ответ (спустя два месяца и просьбы ответить в твиттере):

image

И чем это плохо?


Хоть это поведение и описано в спецификации, оно крайне не очевидно для пользователя. Пользователь не ожидает, что вкладка, с которой он перешел, может измениться.

В лучшем случае турбо-страница сменится огромным порно-баннером, а в худшем — копией турбо-страницы с формой ввода логина-пароля, например. Огромный простор для фишинга!

Как и в остальном мире, я считаю, что это уязвимость.

А как думаете Вы?
Источник: https://habr.com/ru/post/453024/


Интересные статьи

Интересные статьи

Я уволился из Яндекс.Маркета, отработав там почти 15 месяцев. Сегодня я хочу поделиться своим взглядом на работу в Яндекс.Маркете и рассказать о причинах ухода. Disclaimer: эта стать...
Осенью прошлого года в московском офисе Яндекса прошла первая Школа бэкенд-разработки. Мы сняли занятия на видео и сегодня рады поделиться на Хабре полным видеокурсом Школы. Он позволит вам научи...
В прошлом году к Яндексу присоединился сервис TheQuestion. На тот момент уже был схожий сервис вопросов и ответов — Яндекс.Знатоки. У Знатоков была большая аудитория и много интересных вопрос...
Всем привет, меня зовут Сергей. Я занимаюсь тестированием фронтенда Яндекс.Маркета. Знаю, что среди читателей Хабра много IT-специалистов, которые как-то связаны с релизным процессом и тестир...
Меня зовут Валерий Шавель, я из команды разработки векторного движка Яндекс.Карт. Недавно мы внедряли в движок технологию WebAssembly. Ниже я расскажу, почему мы её выбрали, какие результаты полу...