ゼファーネットのロゴ

Chromeは、セキュリティ上の理由から、ウェブサイトのプライベートネットワークへの直接アクセスを制限しています

日付:

Google Chromeは、ブラウザを介した侵入を防ぐための今後の主要なセキュリティシェイクアップの一環として、パブリックWebサイトがプライベートネットワーク内にあるエンドポイントに直接アクセスすることを禁止する計画を発表しました。

提案された変更は、プライベートネットワークアクセスと呼ばれる新しく実装されたW98C仕様を介して、今後数か月以内に予定されているリリースChrome101およびChrome3の一部として、XNUMXつのフェーズで展開される予定です。PNA).

自動GitHubバックアップ

「Chromeは送信を開始します CORS ターゲットサーバーからの明示的な許可を求めるサブリソースのプライベートネットワークリクエストの前に、プリフライトリクエストを送信します。」TitouanRigoudyと北村英治 。 「このプリフライトリクエストには、新しいヘッダーAccess-Control-Request-Private-Network:trueが含まれ、その応答には、対応するヘッダーAccess-Control-Allow-Private-Network:trueが含まれている必要があります。」

つまり、Chromeバージョン101以降、インターネット経由でアクセスできるWebサイトは、内部ネットワークリソースにアクセスする前に、ブラウザから明示的な許可を求めるようになります。 つまり、新しいPNA仕様では、ブラウザ内に、Webサイトがローカルネットワークの背後でゲートされたサーバーに接続を取得するように要求できるようにする機能が追加されています。

データ漏えいの防止

「この仕様は、クロスオリジンリソースシェアリング(CORS)プロトコルも拡張しているため、Webサイトは、任意の要求の送信を許可される前に、プライベートネットワーク上のサーバーからの許可を明示的に要求する必要があります。」Rigoudy 注意 2021年XNUMX月、セキュリティで保護されていないWebサイトからプライベートネットワークエンドポイントへのアクセスを廃止する計画を最初に発表したとき。

研究者によると、目標はクロスサイトリクエストフォージェリからユーザーを保護することです(CSRF)攻撃 ルーターをターゲットにする プライベートネットワーク上の他のデバイス。これにより、悪意のある攻撃者が無防備なユーザーを悪意のあるドメインに再ルーティングできるようになります。

ソース:https://thehackernews.com/2022/01/chrome-limits-websites-access-to.html

スポット画像

最新のインテリジェンス

スポット画像