Ingenieros de Chrome están discutiendo planes para cambiar la forma en que los pop ups de JavaScript trabajan dentro de Chrome
En una propuesta publicada en el portal de desarrolladores de Google, el equipo reconoció que las ventanas emergentes de JavaScript de Chrome se utilizan constantemente para dañar a los usuarios.
Mientras las ventanas emergentes de JavaScript se han utilizado para redirigir a los usuarios a descargas de malware, estos diálogos intrusivos a menudo han sido el punto central de las operaciones de scareware basados en la web, también conocido como estafas de soporte técnico.
El problema radica en el hecho de que elementos emergentes de JavaScript a menudo bloquean el acceso a todo el navegador, y el usuario cierra manualmente la ventana emergente.
En muchos casos, los piratas informaticos han construido bucles sin fin de JavaScript que mantienen a los usuarios en los sitios web. Estas tácticas son conocidos como "los armarios de navegador" y funcionan de manera similar a ransomware, aunque son más fáciles de quitar y no dan lugar a ninguna pérdida de datos debido a la encriptación.
Para combatir esta amenaza, los ingenieros de Google dicen que van a hacer que los modales de JavaScript, como los metodos alert(), confirm(), y dialog(), sólo funcionan en base a cada pestaña, y no por-ventana.
Este cambio significa que los popups no bloquearán los usuarios de conmutación y cerrar la pestaña, poniendo fin a las tácticas excesivamente agresivas por parte del propietarios de páginas web.
Un cambio similar se hizo en Safari 9.1, publicado la semana del 27 de marzo. La decisión de Apple se produjo después de que ladrones utilizaron un fallo en Safari para bloquear a los usuarios en las páginas maliciosas que utilizan ventanas emergentes. Los ladrones luego trató de extorsionar pago, haciéndose pasar por ransomware .
No hay una línea de tiempo sobre la decisión de Google para mover ventanas emergentes de JavaScript a un modelo por cada ficha, pero los ingenieros de chrome han estado debatiendo este tema desde julio el año 2016 como parte del Proyecto OldSpice.
Mientras tanto, Google está pidiendo a los desarrolladores web para reflexionar sobre el uso de las nuevas tecnologías como alternativas a la alerta alert(), confirm(), y dialog(). La lista incluye:
- Notificaciones API - para notificar al usuario de eventos (por ejemplo, sitios de calendario)
- Elemento HTML
- console.log(document.origin)de Devtool XSS para pruebas de concepto
