読者です 読者をやめる 読者になる 読者になる

もやしさん家のもやもやな生活

育児とキャンプとキャンピングトレーラーのブログ♪

はてなブログで良かった♪「target="_blank"」時に自動的に「rel="noopener noreferrer"」が追加されるのを止めてもらえました

先日の記事でブログ村のランキングがダダ下がりしている原因は、はてなブログの仕様だったと書きました。

で、そうしないで記事を各方法は無いかな~?と、はてなさんに相談したところ、すばやく対応していただくことができました。

ランキングに参加してみました~♪
ポチってしていただけると更新の励みになります( *´艸`)
ブログランキング・にほんブログ村へ

 

 

何が問題だったのか?

いつの仕様変更でそうなったかは不明ですが、ブログ中の<a>タグで、「target="_blank"」を指定すると、自動的に「rel="noopener noreferrer"」が追加されて保存されるようになりました。
これが原因で、ブログ村へのリンクをクリックしてもらってもINポイントが発生しない=ランキングの反映されない状態になっていました。

今回私が気づいたのはブログ村のランキングからでしたが、一部のサイトではアフィリエイトリンクの報酬も発生しないような事態になったそうです。

rel="noopener noreferrer"ってイイコトあるの?

WEBセキュリティの世界では、target="_blank"で外部リンクを表示する場合に、開いた先のサイトからフィッシング詐欺攻撃のサイトに誘導することができることがわかっています(Tabnabbingという手法)。
この攻撃では、target="_blank"で開いた先のサイトでjavascriptというプログラムを動かすのですが、rel="noopener noreferrer"を追加することでそのプログラムを動作させないようにすることができます。

Web担当者のためのセキュリティの教科書

Web担当者のためのセキュリティの教科書

  • 作者: 株式会社アズジェント/中山貴禎
  • 出版社/メーカー: エムディエヌコーポレーション
  • 発売日: 2017/03/02
  • メディア: 単行本
  • この商品を含むブログを見る
 

はてなさんの対応

サポートにメールを送って数日、サポート窓口からレスがありました。
「target="_blank"」に rel="noopener noreferrer" を自動で付けていた仕様を元に戻していただけました。

まとめ

今回のはてなさんのサポートは利用者サイドとしてはありがたいことですが、セキュリティ的には問題の先送りをしたに過ぎないと考えます。
実際、WordPressは4.7.4から<a>タグで「target="_blank"」を設定した時に自動的に「rel="noopener noreferrer"」が付加されるようになりましたし、プラットフォームを運営する側としては、同じような対応を入れたいと考えるのは至極当然のことと考えます。
セキュリティの原則である性悪説に立つと、利用者がみんな善良な市民というわけではありませんから(^▽^;

そこで運営側に申し上げたいのは、仕様変更のときはちゃんと情報を発信してください!ってこと。
はてなブログははてな開発者ブログでニュースを上げてらっしゃる(←ほとんどが事後ですが・・・)ので、事前に告知を出すとか、考えられる影響と対策についても情報発信していただけると、利用者側としても助かるな~って考えます。