Google Chrome ha anunciado planes para prohibir que los sitios web públicos accedan directamente a puntos finales ubicados dentro de redes privadas como parte de una próxima importante reestructuración de seguridad para evitar intrusiones a través del navegador.
El cambio propuesto se implementará en dos fases como parte de los lanzamientos Chrome 98 y Chrome 101 programados para los próximos meses a través de una especificación W3C recientemente implementada llamada acceso a red privada (PNA).
"Chrome comenzará a enviar un CORS solicitud de verificación previa antes de cualquier solicitud de red privada para un subrecurso, que solicita permiso explícito del servidor de destino”, Titouan Rigoudy y Eiji Kitamura dijo. "Esta solicitud de verificación previa llevará un nuevo encabezado, Access-Control-Request-Private-Network: true, y la respuesta debe llevar un encabezado correspondiente, Access-Control-Allow-Private-Network: true".
Lo que esto significa es que a partir de la versión 101 de Chrome, cualquier sitio web accesible a través de Internet deberá solicitar permiso explícito del navegador antes de poder acceder a los recursos de la red interna. En otras palabras, la nueva especificación PNA agrega una disposición dentro del navegador a través de la cual los sitios web pueden solicitar servidores ubicados detrás de redes locales para obtener una conexión.
"La especificación también amplía el protocolo Cross-Origin Resource Sharing (CORS), de modo que los sitios web ahora tienen que solicitar explícitamente una concesión de servidores en redes privadas antes de que se les permita enviar solicitudes arbitrarias", Rigoudy señaló en agosto de 2021, cuando anunció por primera vez planes para desaprobar el acceso a puntos finales de redes privadas desde sitios web no seguros.
El objetivo, dijeron los investigadores, es proteger a los usuarios de la falsificación de solicitudes entre sitios (CSRF) ataques enrutadores de destino y otros dispositivos en redes privadas, que permiten a los delincuentes redirigir a usuarios desprevenidos a dominios maliciosos.
Fuente: https://thehackernews.com/2022/01/chrome-limits-websites-access-to.html
