Che cos'è il tabnabbing e come puoi proteggere il tuo sito Elementor da esso?
Tempo di lettura: 4 minuti

Di recente mi sono imbattuto nel termine “tabnabbing”.

In breve, il tabnabbing è un attacco di phishing che manipola le pagine web. Può essere dannoso sia per il tuo sito web (e per la sua reputazione) che per i tuoi visitatori.

Naturalmente, volevo saperne di più su come noi, come proprietari di siti Web, possiamo contribuire a salvaguardare i nostri visitatori. Allora ho scavato un po’…

In questo breve articolo, spiegherò cos’è il tabnabbing in modo più dettagliato e cosa puoi fare per mitigarlo.

Che cos’è il tabnabbing comunque?

Il tabnabbing è un attacco di phishing che può verificarsi quando un visitatore del sito fa clic su un collegamento che si apre in una nuova scheda o finestra. Questa azione offre agli hacker l’opportunità di inserire un reindirizzamento a un sito duplicato che è totalmente sotto il loro controllo.

Qual è lo scopo del tabnabbing?

L’obiettivo qui è piuttosto semplice. L’hacker criminale collegherà i visitatori a un sito duplicato nella speranza di ottenere l’accesso ai dettagli di accesso e ad altre informazioni sensibili.

Il JavaScript nella nuova scheda può fare tutto ciò che il normale JavaScript può fare. Può manipolare la pagina, alterare dati, inviare richieste, leggere cookie per quel sito, ecc. Può anche ottenere dettagli ed apportare modifiche alla finestra principale. Ad esempio, può reindirizzare la pagina originale a una falsa (che sembra legittima) e chiedere ai visitatori le loro credenziali.

Per ovvie ragioni, questo può essere molto pericoloso.

Cosa puoi fare per prevenire il tabnabbing?

Come visitatori del sito, prevenire il tabnabbing è difficile poiché raramente risulta da una vittima che fa clic su un collegamento che sembra sospetto. Tuttavia, come creatore di siti Web, ci sono alcune cose a cui puoi prestare attenzione.

Rel=”non apripista”

Innanzitutto, assicurati sempre che i tuoi collegamenti esterni puntino a fonti affidabili. In secondo luogo, i collegamenti a siti esterni che si aprono in una nuova scheda dovrebbero generalmente avere sempre a rel="noopener" attributo. Questo rende la nuova scheda opener non essere impostato e quindi JavaScript non avrà accesso alla scheda che lo ha aperto.

Rel = “nessun referente”

Allo stesso modo, aggiungendo rel="noreferrer" a un collegamento indica al browser di non dire al server del sito Web della nuova scheda da quale pagina proviene il visitatore, omettendo referrer.

Abbiamo contattato diverse piattaforme di affiliazione per confermare se il rel="noreferrer" attributo influenzerebbe il monitoraggio. Ecco cosa ci è stato detto:

[Affiliate links with this attribute will be] influenzato quando si utilizza il componente aggiuntivo pro Monitoraggio del collegamento diretto poiché si basa sull’URL di riferimento da fornire per accreditare l’affiliato di credito. In caso contrario, i cookie dovrebbero essere ancora in grado di essere aggiunti al browser del visitatore, che è il modo in cui affiliate_id viene tracciato sul sito e utilizzato quando viene effettuato un acquisto/conversione.

AffiliatoWP

L’utilizzo di questo attributo non dovrebbe influire sull’accuratezza del nostro monitoraggio.

CondividiASale

Se il Cliente ha utilizzato un collegamento di monitoraggio del Partner valido, l’azione verrà comunque attribuita anche se l’URL del referrer è Null. Nessun dominio di riferimento significa che si trattava di “traffico diretto”. Il traffico diretto è quando qualcuno digita semplicemente un URL nel proprio browser web. Questo molto probabilmente è stato causato dalle persone che hanno copiato il collegamento di monitoraggio del partner e lo hanno incollato nel proprio browser web, il che è probabilmente il caso se stanno prendendo il collegamento da un post di Facebook. Non troverai sempre un dominio di riferimento in quella sezione poiché dipende dal metodo utilizzato dal cliente per generare l’azione.

Impatto

Per riassumere, in generale, l’attributo noreferrer non dovrebbe influenzare i tuoi link di affiliazione. Tuttavia, potrebbero esserci circostanze in cui lo fa, quindi assicurati di verificare con il tuo partner affiliato quando imposti gli attributi.

WordPress

L’editor Gutenberg (o Block Editor) imposta automaticamente il rel="noopener noreferrer" a tutti i collegamenti impostati per l’apertura in una nuova scheda del browser. WordPress ha introdotto questa funzionalità specificamente per affrontare le vulnerabilità di sicurezza descritte sopra.

Di seguito è riportato un esempio di come sarebbe un collegamento esterno in HTML:

<p><strong><a href="https://www.wpmayor.com/" target="_blank" rel="noreferrer noopener">WP Mayor</a></strong></p>

Elementor

Purtroppo, Elementor non imposta questi attributi automaticamente. Se stai creando o gestendo il tuo sito Web con questo famoso generatore di pagine, è abbastanza facile trascurarlo. Tuttavia, esiste una soluzione alternativa.

Quando si crea un collegamento a una fonte esterna in Elementor, fai clic sull’icona a forma di ingranaggio a destra di Collegamento campo. Questo apre il Attributi personalizzati sezione nel Elementor aggeggio.

Ecco, aggiungi rel|noopener noreferrer e salva il tuo lavoro.

Sul front-end, il codice sorgente rivela che il rel="noopener noreferrer" gli attributi sono stati assegnati.

Codice sorgente

Abbiamo contattato Elementor per ottenere informazioni sui loro pensieri sul tabnabbing. Ecco cosa Shilo Eish Yemini, Editor Product Lead @ Elementor dovuto dire:

Il motivo per cui Elementor non ha aggiunto questo comportamento per impostazione predefinita fino ad ora è evitare di danneggiare i siti Web esistenti senza il loro consenso e potenzialmente danneggiare il tracciamento di questi siti.

A partire dal Web.dev:
A partire dalla versione 88 di Chromium, gli anchor con target=”_blank” ottengono automaticamente il comportamento di noopener per impostazione predefinita.

Come accennato in [this] articolo interessante, consentiamo agli utenti di aggiungere manualmente questi attributi `rel`. Detto questo, noi volere aggiungi presto l’attributo `noopener` a tutti i link esterni, per assicurarti che nessun visitatore del browser legacy sarà interessato. Non aggiungeremo automaticamente il “noreferrer” per evitare problemi di tracciamento nei siti esistenti e per il motivo che entrambi hanno scopi simili.

Riepilogo

Se stai utilizzando Elementor, ti incoraggio a rivedere le intestazioni, i piè di pagina, le barre laterali, gli annunci e le modali per assicurarti che i link a pagine di terze parti abbiano il noopener e noreferrer valori nel rel attributo.

Questo non solo salvaguarderà te e il tuo sito web, ma anche i tuoi visitatori.

Source link

Di Simone Serra

Web Designer Freelancer Realizzazione Siti Web Serra Simone Realizzo siti web, portali ed e-commerce con focus specifici sull’usabilità, l’impatto grafico, una facile gestione e soprattutto in grado di produrre conversioni visitatore-cliente. Elaboro siti internet, seguendo gli standard Web garantendo la massima compatibilità con tutti i devices. Sviluppo e-commerce personalizzati, multilingua, geolocalizzati per potervi mettere nelle migliori condizioni di vendita. Posiziono il tuo sito su Google per dare maggiore visibilità alla tua attività sui motori di ricerca con SEO di base o avanzato.