Програми

Нова функція Google Chrome блокує атаки на домашні мережі

Share
Час читання: 3 хв.

Компанія Google тестує нову функцію, яка не дозволить шкідливим публічним сайтам через браузер користувача атакувати пристрої та сервіси у внутрішніх приватних мережах.

Простіше кажучи, Google планує запобігти атакам шкідливих сайтів в Інтернеті на пристрої відвідувача (наприклад, принтери або маршрутизатори) у його будинку чи комп’ютері. Зазвичай люди вважають ці пристрої безпечними, оскільки вони безпосередньо не підключені до Інтернету і захищені маршрутизатором.

“Щоб запобігти можливості шкідливих веб-сайтів через мережеву позицію агента користувача атакувати пристрої та служби, які, як обґрунтовано передбачається, недоступні з Інтернету в цілому, оскільки знаходяться у локальній мережі користувача або на його комп’ютері”, – йдеться в описі Google. описує цю ідею у документі підтримки.

Блокування небезпечних запитів до внутрішніх мереж

Пропонована функція “Захист доступу до приватної мережі”, яка в Chrome 123 працюватиме в режимі “тільки попередження”, проводить перевірку перед тим, як публічний сайт (назва “сайт A”) направить браузер на відвідування іншого сайту (названого “сайт B” ) у приватній мережі користувача.

Перевірки включають перевірку того, чи надходить запит з безпечного контексту, і відправлення попереднього запиту, щоб дізнатися, чи дозволяє сайт B (наприклад, HTTP-сервер, що працює на loopback-адресі або веб-панель маршрутизатора) доступ з публічного сайту за допомогою спеціальних запитів, які називаються CORS-запити попередньої перевірки.

На відміну від існуючих засобів захисту для ресурсів та робочих ресурсів, ця функція зосереджена саме на навігаційних запитах. Її основна мета – захистити приватні мережі користувачів від потенційних загроз.

У прикладі, наданому Google, розробники ілюструють HTML iframe на публічному сайті, який виконує CSRF-атаку, що змінює конфігурацію DNS маршрутизатора відвідувача у його локальній мережі.

Згідно з новим реченням, коли браузер виявить, що публічний сайт намагається підключитися до внутрішнього пристрою, він спочатку відправить на нього попередній запит.

Якщо відповіді немає, з’єднання буде заблоковано. Однак, якщо внутрішній пристрій відповість, він може повідомити браузеру, чи слід дозволити запит, використовуючи ‘Access-Control-Request-Private-Network’ заголовка.

Це дозволяє автоматично блокувати запити до пристроїв у внутрішній мережі, якщо пристрій явно не дозволяє з’єднання з загальнодоступними сайтами.

Поки функція перебуває на стадії попередження, навіть якщо перевірки не пройдуть, вона не блокуватиме запити. Натомість розробники побачать попередження в консолі DevTools, що дасть їм час на адаптацію до початку суворішого застосування.

Однак Google попереджає, що навіть якщо запит буде заблокований, автоматичне перезавантаження браузера дозволить йому пройти, оскільки він розглядатиметься як внутрішнє => внутрішнє з’єднання.

“Захист доступу до приватної мережі не буде застосовуватись у цьому випадку, оскільки ця функція була розроблена для захисту приватної мережі користувачів від більш публічних веб-сторінок”, – попереджає Google. попереджає Google.

Щоб запобігти цьому, Google пропонує заблокувати автозавантаження сторінки, якщо функція Private Network Access раніше її заблокувала.

У цьому випадку веб-браузер виведе повідомлення про помилку, в якому йдеться про те, що ви можете дозволити запит, перезавантаживши сторінку вручну, як показано нижче.

На цій сторінці з’явиться нове повідомлення про помилку Google Chrome “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS”, яке повідомляє про те, що сторінка не може завантажитись, оскільки не пройшла перевірку безпеки Private Network Access.

Ідея оновлення системи безпеки

Мотивація цієї розробки полягає в тому, щоб не дати шкідливим веб-сайтам в Інтернеті використовувати недоліки пристроїв та серверів у внутрішніх мережах користувачів, які вважалися захищеними від інтернет-загроз.

Це включає захист від несанкціонованого доступу до маршрутизаторів користувачів та програмних інтерфейсів, що працюють на локальних пристроях, що стає все більш актуальним, оскільки все більше програм розгортають веб-інтерфейси, що передбачають неіснуючі засоби захисту.

Згідно з документом підтримки Google почав вивчати цю ідею в 2021 році, щоб запобігти шкідливим запитам зовнішніх веб-сайтів до ресурсів всередині приватної мережі (localhost або приватна IP-адреса).

Хоча безпосередньою метою є зниження ризиків, пов’язаних з атаками “SOHO Pharming” та вразливістю CSRF (Cross-Site Request Forgery), специфікація не націлена на захист HTTPS-з’єднань для локальних служб – необхідний крок для безпечної інтеграції публічних та непублічних ресурсів, але виходить за поточної специфікації.

Митник Михайло

Більшу частину свого дитинства Михайло провів, бавлячись із гаджетами та намагаючись з'ясувати, як вони працюють. Його захоплення технологіями призвело до того, що іграшкові роботи, радіокеровані машинки та навіть ігрові приставки часто розбирали на частини, які не підлягали ремонту. Якщо ви поставите йому провокаційне запитання на кшталт "Android чи iPhone?", ви отримаєте ретельний аналіз всіх "за" і "проти", а також есе на тисячу слів про те, як технології впливають на людство.

Опублікував
Митник Михайло
  • Останні записи

    OnePlus розкрила всі особливості смартфона Ace 5 Pro

    Компанія OnePlus випустила серію офіційних тизерів, присвячених серії смартфонів Ace 5. Судячи з промоматеріалів, новинку…

    23.12.2024

    Apple здивує всіх: Face ID вмонтують у розумний дверний дзвінок

    Авторитетний інсайдер і журналіст Bloomberg Марк Гурман поділився інформацією про те, що Apple "перебуває на…

    23.12.2024

    Microsoft випустила безкоштовну версію ШІ-помічника для програмістів

    GitHub представив безкоштовну версію свого інструменту для програмування Copilot, який тепер за замовчуванням включений у…

    23.12.2024

    З 1 січня WhatsApp більше не підтримуватиме старі Android-пристрої

    З 1 січня 2025 року смартфони під управлінням Android KitKat і більш ранніх версій платформи…

    23.12.2024

    Нова ера ядерної зброї: США розпочали випуск вдосконалених В61

    У 2024 році зі спеціалізованої виробничої лінії випустили перші зразки важких авіаційних бомб B61, які…

    23.12.2024

    iPhone 17 Pro здивує камерою на 24 Мп для селфі, але без титанових акцентів

    Apple готується здивувати фанатів у 2025 році з виходом iPhone 17 Pro, який отримає кілька…

    23.12.2024