Chromium工程师正在计划并讨论改变JavaScript弹出窗口在Chrome和其他类似浏览器中的工作原理。

在Google Developers门户网站上发布的一项提案中[1]，Chromium团队承认JavaScript弹出窗口过去一直在伤害用户。

同时，JavaScript弹出窗口已被用于将用户重定向到恶意软件下载，这些打扰用户的对话通常还是基于web威胁的操作的核心，也称为技术诈骗。

问题在于JavaScript弹出窗口通常阻止对整个浏览器的访问，除非用户手动关闭该弹出窗口。

在许多情况下，骗子构建了无限循环的JavaScript，使用户在停留在不可靠的网站上。这些策略被称为“browser lockers”，与勒索软件工作方法类似，尽管它们更容易被删除，并且不会由于加密而导致的任何数据丢失。

让Chrome JS弹出窗口只在单个选项卡上工作

为了应对这种威胁，Google工程师表示，他们计划让javascript模态窗口，如alert()，confirm()和dialog()方法，仅在单个选项卡上上工作，而不是单个窗口。

这种更改意味着弹出式窗口不会阻止用户切换和关闭该选项卡，从而结束网站所有者的任何过于激进的策略。

本周发布的Safari 9.1也发生了类似的变化。苹果公司的这个决定是在恶意软件使用Safari中的一个bug，通过弹出窗口将用户留在这个恶意页面，然后进行敲诈收费，构成了勒索软件[2]后制定的。。

Google自2016年7月起就对此调整进行了讨论

谷歌移动JavaScript弹出窗口到选项卡的决定没有时间表，但Chromium 的工程师自从2016年7月[3]一直把这个问题作为Project OldSpice[4]的部分项目在讨论。

与此同时，Google正在要求网络开发人员考虑使用新技术作为经典alert()、confirm()、和dialog()函数的替代方法。

例如：

• 通知API - 用来通知用户工作事件（例如日历网站）

• HTML<dialog>元素 - 用于获取用户输入

• Devtool的console.log（document.origin） - 用于验证XSS

“由于这些变化，如果您的站点使用对话框，强烈建议您转向使用前面提到的替代方案，这样将不会受到影响，”Google的工程师说。“Chromium团队强烈建议您不要使用JavaScript对话框。”

[1]. https://developers.google.com/web/updates/2017/03/dialogs-policy

[2]. https://www.bleepingcomputer.com/news/security/yesterdays-ios-10-3-update-bring-safari-ransomware-campaign-to-an-end/

[3]. https://bugs.chromium.org/p/chromium/issues/detail?id=629964

[4]. https://docs.google.com/document/d/1wtV5rmLhbf1OZkbg7crtCt6h1mMtig_ctTQt3BLLEIU/edit

作者：Catalin Cimpanu 

来源：https://www.bleepingcomputer.com/news/security/google-wants-to-change-javascript-popups-after-abuse-from-tech-support-scammers/

安全&前端

长按二维码
关注我们