Google spune că browserul său Chrome va bloca în curând site-urile de internet să interogheze și să interacționeze cu dispozitivele și serverele situate în rețelele private locale, invocând motive de securitate și abuzuri trecute din operațiunile malware, se arată într-un articol postat pe site-ul The Record.

Schimbarea va avea loc prin implementarea unei noi specificații W3C numită Private Network Access (PNA), care va fi lansată în prima jumătate a anului.

Noua specificație PNA adaugă un mecanism în interiorul browserului Chrome prin care site-urile de internet pot cere permisiunea sistemelor din rețelele locale înainte de a stabili o conexiune.

„Chrome va începe să trimită o solicitare de verificare prealabilă CORS înaintea oricărei solicitări de rețea privată pentru o subresursă, care solicită permisiunea explicită de la serverul țintă. Această solicitare preflight va conține un nou antet, Access-Control-Request-Private-Network: true, iar răspunsul la aceasta trebuie să aibă un antet corespunzător, Access-Control-Allow-Private-Network: true.”

Eiji Kitamura și Titouan Rigoudy, Google

Dacă dispozitivele locale, cum ar fi serverele sau routerele, nu reușesc să răspundă, site-urile de internet vor fi blocate.

Browserul a fost folosit ca proxy pentru atacurile asupra rețelelor locale

Noua specificație PNA este una dintre cele mai importante caracteristici de securitate care vor fi adăugate la Chrome în ultimii ani.

De la începutul anilor 2010, grupurile de criminalitate cibernetică și-au dat seama că ar putea folosi browserele ca un „proxy” care transmite conexiunile la rețeaua internă a unei companii.

De exemplu, un site web rău intenționat ar putea conține cod care încearcă să acceseze o adresă IP precum 192.168.0.1, care este adresa tipică pentru majoritatea panourilor de administrare a routerelor și accesibilă numai dintr-o rețea locală.

Când utilizatorii accesează acest tip de site rău intenționat, browserul lor poate face o solicitare automată către router fără știrea utilizatorului, trimițând cod rău intenționat care poate ocoli autentificarea routerului și poate modifica setările routerului.

Aceste tipuri de atacuri nu sunt doar teoretice și au mai avut loc, cu exemple detaliate aici și aici.

Variația acestor atacuri de la internet la rețea locală ar putea viza și alte sisteme locale, cum ar fi servere interne, controlere de domeniu, firewall-uri sau chiar aplicații găzduite local (prin domeniul http://localhost sau alte domenii definite local).

Imagine: Google

Prin introducerea specificației PNA în Chrome și a sistemului său de negociere a permisiunilor, Google dorește să împiedice astfel de atacuri automate să fie posibile.

Potrivit Google, o versiune de PNA a fost deja livrată cu Chrome 96, lansată în noiembrie 2021, dar suportul complet va fi lansat în două etape anul acesta, cu versiunile Chrome 98 (începutul lunii martie) și Chrome 101 (sfârșitul lunii mai). , după cum se detaliază mai jos:

În Chrome 98:

  • Chrome trimite cereri preflight înainte de solicitările de subresurse ale rețelei private.
  • Eșecurile preflight afișează numai avertismente în DevTools, fără a afecta altfel solicitările rețelei private.
  • Chrome adună date de compatibilitate și ajunge la cele mai mari site-uri web afectate.
  • Ne așteptăm ca acest lucru să fie compatibil în general cu site-urile web existente.

În Chrome 101, cel mai devreme:

  • Acest lucru va începe numai dacă și când datele de compatibilitate indică faptul că schimbarea este suficient de sigură și am contactat direct atunci când este necesar.
  • Chrome impune ca cererile preflight să reușească, altfel eșuând solicitările.
  • Un „deprecation trial” începe în același timp pentru a permite site-urilor web afectate de această fază să solicite o prelungire de timp. Procesul va dura cel puțin 6 luni.

Sursa: The Record