Vulnerabilidad conocida también como “reverse tabnabbing” (lo traduciríamos algo así como “captura inversa de pestaña”), es un tipo de phising en el que el atacante reemplaza la página original de una pestaña no activa mediante javascript (aunque no únicamente), por la copia maliciosa, de phising, donde intentarán apropiarse de nuestras contraseñas mediante ingeniería social. La copia maliciosa, como es habitual en el phising, será idéntica a la original, pero con una url distinta. Sin embargo, es fácil que el usuario no lo advierta, debido a lo fácil que resulta engañarnos, porque el cambiazo por la página maliciosa nos lo pegan cuando no estamos viendo la página buena (no está activa, estamos viendo otra pestaña).

¿Cómo evitarlo? Esta pregunta tiene dos posibles destinatarios: los usuarios finales que navegan por la web, y los diseñadores de sitios. Vamos a responder primero para estos últimos: usando el atributo rel=”noopener noreferrer” en nuestros enlaces HTML (etiqueta <A>, anchor). No es incompatible con “nofollow”. Si teníamos un enlace

<A href=”…” rel=”nofollow” target=”_blank”>

se transformará en este otro

<A href=”…” rel=”nofollow noopener noreferrer” target=”_blank”>

en cada uno de los enlaces de nuestra página HTML. Sin embargo, si utilizamos WordPress para la creación de nuestros sitios web -como es nuestro caso-, cada vez que marquemos un enlace para abrirse en otra ventana, generará el código correspondiente de la forma indicada anteriormente. Esto es así desde la versión 4.7.4, de hace aproximadamente un año (10/5/2017).

¿Por qué ponemos “noopener noreferrer”? En realidad, con “noopener” sería suficiente, pero en versiones de Mozilla Firefox anteriores a la 52, no lo reconocía, por lo que era necesario poner noreferrer.

¿Afecta al SEO? Tal como cuentan nuestros compañeros de AyudaWP, en absoluto.

Para saber más de este tema, os recomendamos los siguientes enlaces:

Wikipedia – Reverse Tabnabbig

AyudaWP – La vulnerabilidad target=”_blank”

Aza Raskin’s web site

Bugzilla – Bug 1222516: Implement rel=noopener (RESOLVED FIXED in Firefox 52)