Разработчики Google Chrome тестируют новую функциональность, которая должна блокировать кибератаки на домашние сети через браузер. В версии Chrome 123 её планируют запустить в режиме «только предупреждать». Она будет сканировать общедоступные сайты и перенаправления с них. Так, функция проверит, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определённые запросы, называемые CORS-preflight запросами.
Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название «Защита частных сетевых доступов», состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>
На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.
На начальном этапе, даже если проверки не пройдены, функция не будет блокировать запросы, а разработчики увидят предупреждение в консоли DevTools, что даст им время на адаптацию перед введением более строгих ограничений.
Однако Google предупреждает, что автоматическая перезагрузка браузера позволит запросу пройти даже после его блокировки. Чтобы этого не произошло, компания предлагает заблокировать автоперезагрузку страницы. В этом случае браузер отобразит сообщение об ошибке, в котором будет указано, что выполнение запроса можно разрешить, вручную перезагрузив страницу, как показано ниже.
Инициатива Google нацелена на обеспечение безопасности устройств и серверов в пользовательских локальных сетях, предотвращая доступ извне к роутерам и локальным программным интерфейсам. С увеличением количества приложений, полагающихся на веб-интерфейсы без встроенной защиты, важность таких мер безопасности неуклонно растет.
С заботой о вашей безопасности, команда Origin Security
