Google Chrome объявил о планах запретить общедоступным веб-сайтам прямой доступ к конечным точкам, расположенным в частных сетях, в рамках предстоящей серьезной перестройки системы безопасности для предотвращения вторжений через браузер.

Предлагаемое изменение будет развернуто в два этапа в рамках выпусков Chrome 98 и Chrome 101, запланированных на ближайшие месяцы, с помощью недавно реализованной спецификации W3C, называемой доступом к частной сети (PNA).

«Chrome начнет отправлять КОРС предварительный запрос перед любым запросом частной сети для подресурса, который запрашивает явное разрешение от целевого сервера», — Титуан Ригуди и Эйдзи Китамура. — сказал. «Этот предварительный запрос будет содержать новый заголовок Access-Control-Request-Private-Network: true, а ответ на него должен содержать соответствующий заголовок Access-Control-Allow-Private-Network: true».

Это означает, что, начиная с версии Chrome 101, любой веб-сайт, доступный через Интернет, будет вынужден запрашивать явное разрешение от браузера, прежде чем он сможет получить доступ к внутренним сетевым ресурсам. Другими словами, новая спецификация PNA добавляет в браузер положение, через которое веб-сайты могут запрашивать серверы, защищенные локальными сетями, для получения соединения.

«Спецификация также расширяет протокол Cross-Origin Resource Sharing (CORS), так что веб-сайты теперь должны явно запрашивать разрешение у серверов в частных сетях, прежде чем им будет разрешено отправлять произвольные запросы», — Ригуди. отметил, в августе 2021 года, когда он впервые объявил о планах отказаться от доступа к конечным точкам частной сети с незащищенных веб-сайтов.

По словам исследователей, цель состоит в том, чтобы защитить пользователей от подделки межсайтовых запросов (CSRF) атаки таргетинг на маршрутизаторы и другие устройства в частных сетях, которые позволяют злоумышленникам перенаправлять ничего не подозревающих пользователей на вредоносные домены.

Источник: https://thehackernews.com/2022/01/chrome-limits-websites-access-to.html.