Новости Chrome ограничит доступ к приватным сетям из соображений безопасности

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.922
Репутация
62.740
Реакции
277.140
RUB
0
Ограничения будут реализованы путем внедрения в браузер спецификации Private Network Access в первом полугодии 2022 года.
image



Совсем скоро браузер Chrome блокировать сайтам возможность отвечать и взаимодействовать с устройствами и серверами в локальных приватных сетях. Причиной являются опасения по поводу безопасности и известные случаи злоупотреблений.

Изменения будут реализованы путем внедрения в браузер новой спецификации W3C под названием Private Network Access (PNA) в первом полугодии 2022 года. Новая спецификация PNA добавляет в Chrome механизм, через который сайты могут запрашивать у систем в локальных сетях разрешение на установку соединения.

Chrome начнет отправлять предварительный CORS-запрос перед любым запросом приватных сетей на подресурс, пояснили в Google. Этот предварительный запрос представляет собой запрос на явное разрешение от целевого сервера. Предварительный запрос будет содержать новый заголовок Access-Control-Request-Private-Network: true, и ответ также должен будет содержать заголовок Access-Control-Allow-Private-Network: true.

Если локальные устройства (серверы, маршрутизаторы и пр.) не отвечают, сайты не будут к ним подключаться.

С начала 2010-х годов киберпреступные группировки поняли, что браузеры можно использовать как прокси для подключения ко внутренним корпоративным сетям. Например, вредоносный сайт может содержать код, пытающийся подключаться к IP-адресу наподобие 192.168.0.1, являющемуся адресом большинства панелей администрирования маршрутизатора.

Когда пользователи заходят на такой вредоносный сайт, их браузеры могут делать автоматический запрос на маршрутизатор без ведома пользователей, отправляя вредоносный код, способный обходить аутентификацию маршрутизатора и модифицировать его настройки. Этот тип атак является не только теоретическим и периодически применяется на практике.

Варианты этих атак также могут атаковать другие локальные системы, такие как внутренние серверы, контроллеры домена, межсетевые экраны и даже локально развернутые приложения (через домен или другие локально определенные домены).

Добавив спецификацию PNA в Chrome и его систему согласования разрешений, Google намерена предотвратить подобные автоматизированные атаки.











 
Сверху Снизу