Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Chrome запретит доступ к приватным сетям из соображений безопасности

14/01/22

Google ChromeСовсем скоро браузер Chrome начнет блокировать сайтам возможность отвечать и взаимодействовать с устройствами и серверами в локальных приватных сетях. Причиной являются опасения по поводу безопасности и известные случаи злоупотреблений.

Изменения будут реализованы путем внедрения в браузер новой спецификации W3C под названием Private Network Access (PNA) в первом полугодии 2022 года. Новая спецификация PNA добавляет в Chrome механизм, через который сайты могут запрашивать у систем в локальных сетях разрешение на установку соединения.

Chrome начнет отправлять предварительный CORS-запрос перед любым запросом приватных сетей на подресурс, пояснили в Google. Этот предварительный запрос представляет собой запрос на явное разрешение от целевого сервера. Предварительный запрос будет содержать новый заголовок Access-Control-Request-Private-Network: true, и ответ также должен будет содержать заголовок Access-Control-Allow-Private-Network: true.

Если локальные устройства (серверы, маршрутизаторы и пр.) не отвечают, сайты не будут к ним подключаться.

С начала 2010-х годов киберпреступные группировки поняли, что браузеры можно использовать как прокси для подключения ко внутренним корпоративным сетям. Например, вредоносный сайт может содержать код, пытающийся подключаться к IP-адресу наподобие 192.168.0.1, являющемуся адресом большинства панелей администрирования маршрутизатора.

Когда пользователи заходят на такой вредоносный сайт, их браузеры могут делать автоматический запрос на маршрутизатор без ведома пользователей, отправляя вредоносный код, способный обходить аутентификацию маршрутизатора и модифицировать его настройки. Этот тип атак является не только теоретическим и периодически применяется на практике.

Варианты этих атак также могут атаковать другие локальные системы, такие как внутренние серверы, контроллеры домена, межсетевые экраны и даже локально развернутые приложения (через домен http://localhost или другие локально определенные домены).

Добавив спецификацию PNA в Chrome и его систему согласования разрешений, Google намерена предотвратить подобные автоматизированные атаки.

По данным Google, версия PNA уже поставляется с Chrome 96, но полная поддержка будет развернута в нынешнем году в два этапа в Chrome 98 (в начале марта) и Chrome 101 (конец мая).

Темы:КиберзащитаОтрасльGoogle Chromeполитика компании
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...