Jump to content

Chrome ограничит доступ к приватным сетям из соображений безопасности


Recommended Posts

Chrome ограничит доступ к приватным сетям из соображений безопасности

10:17 / 13 Января, 2022 2022-01-13T11:17:02+03:00

Alexander Antipov

Ограничения будут реализованы путем внедрения в браузер спецификации Private Network Access в первом полугодии 2022 года.

https://www.securitylab.ru/upload/iblock/86e/86e33dbeea6c763f7cc2018cf220213a.jpg

Совсем скоро браузер Chrome начнет блокировать сайтам возможность отвечать и взаимодействовать с устройствами и серверами в локальных приватных сетях. Причиной являются опасения по поводу безопасности и известные случаи злоупотреблений.

Изменения будут реализованы путем внедрения в браузер новой спецификации W3C под названием Private Network Access (PNA) в первом полугодии 2022 года. Новая спецификация PNA добавляет в Chrome механизм, через который сайты могут запрашивать у систем в локальных сетях разрешение на установку соединения.

Chrome начнет отправлять предварительный CORS-запрос перед любым запросом приватных сетей на подресурс, пояснили в Google. Этот предварительный запрос представляет собой запрос на явное разрешение от целевого сервера. Предварительный запрос будет содержать новый заголовок Access-Control-Request-Private-Network: true, и ответ также должен будет содержать заголовок Access-Control-Allow-Private-Network: true.

Если локальные устройства (серверы, маршрутизаторы и пр.) не отвечают, сайты не будут к ним подключаться.

С начала 2010-х годов киберпреступные группировки поняли, что браузеры можно использовать как прокси для подключения ко внутренним корпоративным сетям. Например, вредоносный сайт может содержать код, пытающийся подключаться к IP-адресу наподобие 192.168.0.1, являющемуся адресом большинства панелей администрирования маршрутизатора.

Когда пользователи заходят на такой вредоносный сайт, их браузеры могут делать автоматический запрос на маршрутизатор без ведома пользователей, отправляя вредоносный код, способный обходить аутентификацию маршрутизатора и модифицировать его настройки. Этот тип атак является не только теоретическим и периодически применяется на практике.

Варианты этих атак также могут атаковать другие локальные системы, такие как внутренние серверы, контроллеры домена, межсетевые экраны и даже локально развернутые приложения (через домен http://localhost или другие локально определенные домены).

Добавив спецификацию PNA в Chrome и его систему согласования разрешений, Google намерена предотвратить подобные автоматизированные атаки.

По данным Google, версия PNA уже поставляется с Chrome 96, но полная поддержка будет развернута в нынешнем году в два этапа в Chrome 98 (в начале марта) и Chrome 101 (конец мая).


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...