{"id":167,"date":"2018-05-07T11:50:21","date_gmt":"2018-05-07T10:50:21","guid":{"rendered":"http:\/\/www.ldmsoluciones.com\/consultoria\/?p=167"},"modified":"2018-05-07T11:50:21","modified_gmt":"2018-05-07T10:50:21","slug":"la-vulnerabilidad-target_blank","status":"publish","type":"post","link":"http:\/\/ldmconsultoria.com\/web\/la-vulnerabilidad-target_blank\/","title":{"rendered":"La vulnerabilidad target=\u00bb_blank\u00bb"},"content":{"rendered":"<p>Vulnerabilidad conocida tambi\u00e9n como \u00ab<strong><em>reverse tabnabbing<\/em><\/strong>\u00bb (lo traducir\u00edamos algo as\u00ed como \u00abcaptura inversa de pesta\u00f1a\u00bb), es un tipo de <em>phising<\/em> en el que el atacante reemplaza la p\u00e1gina original de una pesta\u00f1a no activa mediante <em>javascript<\/em> (aunque no \u00fanicamente), por la copia maliciosa, de <em>phising, <\/em>donde intentar\u00e1n apropiarse de nuestras contrase\u00f1as mediante ingenier\u00eda social. La copia maliciosa, como es habitual en el phising, ser\u00e1 id\u00e9ntica a la original, pero con una url distinta. Sin embargo, es f\u00e1cil que el usuario no lo advierta, debido a lo f\u00e1cil que resulta enga\u00f1arnos, porque el cambiazo por la p\u00e1gina maliciosa nos lo pegan cuando no estamos viendo la p\u00e1gina buena (no est\u00e1 activa, estamos viendo otra pesta\u00f1a).<\/p>\n<p><!--more--><span style=\"color: #000080;\"><strong>\u00bfC\u00f3mo evitarlo?<\/strong><\/span> Esta pregunta tiene dos posibles destinatarios: los usuarios finales que navegan por la web, y los dise\u00f1adores de sitios. Vamos a responder primero para estos \u00faltimos: usando el atributo rel=\u00bbnoopener noreferrer\u00bb en nuestros enlaces HTML (etiqueta &lt;A&gt;, <em>anchor<\/em>). No es incompatible con \u00abnofollow\u00bb. Si ten\u00edamos un enlace<\/p>\n<p><span style=\"color: #0000ff;\">&lt;A href=\u00bb&#8230;\u00bb rel=\u00bbnofollow\u00bb target=\u00bb_blank\u00bb&gt;<\/span><\/p>\n<p>se transformar\u00e1 en este otro<\/p>\n<p><span style=\"color: #0000ff;\">&lt;A href=\u00bb&#8230;\u00bb rel=\u00bbnofollow noopener noreferrer\u00bb target=\u00bb_blank\u00bb&gt;<\/span><\/p>\n<p><strong>en cada uno de los enlaces de nuestra p\u00e1gina HTML<\/strong>. Sin embargo, si utilizamos <em>WordPress<\/em> para la creaci\u00f3n de nuestros sitios web -como es nuestro caso-, cada vez que marquemos un enlace para abrirse en otra ventana, generar\u00e1 el c\u00f3digo correspondiente de la forma indicada anteriormente. Esto es as\u00ed desde la versi\u00f3n 4.7.4, de hace aproximadamente un a\u00f1o (10\/5\/2017).<\/p>\n<p>\u00bfPor qu\u00e9 ponemos \u00abnoopener noreferrer\u00bb? En realidad, con \u00abnoopener\u00bb ser\u00eda suficiente, pero en versiones de Mozilla Firefox anteriores a la 52, no lo reconoc\u00eda, por lo que era necesario poner noreferrer.<\/p>\n<p><span style=\"color: #000080;\"><strong>\u00bfAfecta al SEO?<\/strong> <\/span>Tal como cuentan nuestros compa\u00f1eros de AyudaWP, en absoluto.<\/p>\n<p>Para saber m\u00e1s de este tema, os recomendamos los siguientes enlaces:<\/p>\n<blockquote><p><a href=\"https:\/\/es.wikipedia.org\/wiki\/Tabnabbing\" target=\"_blank\" rel=\"noopener noreferrer\">Wikipedia &#8211; Reverse Tabnabbig<\/a><\/p><\/blockquote>\n<blockquote><p><a href=\"https:\/\/ayudawp.com\/la-vulnerabilidad-target_blank-la-solucion-relnoopener-noreferrer-wordpress\/\" target=\"_blank\" rel=\"noopener noreferrer\">AyudaWP &#8211; La vulnerabilidad target=\u00bb_blank\u00bb<\/a><\/p><\/blockquote>\n<blockquote><p><a href=\"http:\/\/www.azarask.in\/blog\/post\/a-new-type-of-phishing-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">Aza Raskin&#8217;s web site<\/a><\/p><\/blockquote>\n<blockquote><p><a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=1222516\" target=\"_blank\" rel=\"noopener noreferrer\">Bugzilla &#8211; Bug 1222516: Implement rel=noopener (RESOLVED FIXED in Firefox 52)<\/a><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vulnerabilidad conocida tambi\u00e9n como \u00abreverse tabnabbing\u00bb (lo traducir\u00edamos algo as\u00ed como \u00abcaptura inversa de pesta\u00f1a\u00bb), es un tipo de phising en el que el atacante reemplaza la p\u00e1gina original de una pesta\u00f1a no activa mediante javascript (aunque no \u00fanicamente), por la copia maliciosa, de phising, donde intentar\u00e1n apropiarse de nuestras contrase\u00f1as mediante ingenier\u00eda social. La [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":171,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[15,17,22,29],"class_list":["post-167","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-diseno","tag-html","tag-phising","tag-seguridad"],"_links":{"self":[{"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/posts\/167","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/comments?post=167"}],"version-history":[{"count":0,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/posts\/167\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/media\/171"}],"wp:attachment":[{"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/media?parent=167"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/categories?post=167"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/ldmconsultoria.com\/web\/wp-json\/wp\/v2\/tags?post=167"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}