Компания Google тестирует новую функцию, которая не позволит вредоносным публичным сайтам через браузер пользователя атаковать устройства и сервисы во внутренних частных сетях.
Проще говоря, Google планирует предотвратить атаки вредоносных сайтов в Интернете на устройства посетителя (например, принтеры или маршрутизаторы) в его доме или на его компьютере. Обычно люди считают эти устройства безопасными, поскольку они не подключены напрямую к Интернету и защищены маршрутизатором.
"Чтобы предотвратить возможность вредоносных веб-сайтов через сетевую позицию агента пользователя атаковать устройства и службы, которые, как обоснованно предполагалось, недоступны из Интернета в целом в силу того, что находятся в локальной внутренней сети пользователя или на его компьютере", - описывает эту идею Google в документе поддержки.
Предлагаемая функция "Защита доступа к частным сетям", которая в Chrome 123 будет работать в режиме "только предупреждения", проводит проверку перед тем, как публичный сайт (именуемый "сайт A") направит браузер на другой сайт (именуемый "сайт B") в частной сети пользователя.
Проверки включают в себя проверку того, поступает ли запрос из безопасного контекста, и отправку предварительного запроса, чтобы узнать, разрешает ли сайт B (например, HTTP-сервер, работающий на loopback-адресе или веб-панель маршрутизатора) доступ с публичного сайта с помощью специальных запросов, называемых CORS-preflight-запросами.
В отличие от существующих средств защиты для подресурсов и рабочих ресурсов, эта функция сосредоточена именно на навигационных запросах. Ее основная цель - защитить частные сети пользователей от потенциальных угроз.
В примере, предоставленном Google, разработчики иллюстрируют HTML iframe на публичном сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123"></iframe>
Согласно новому предложению, когда браузер обнаружит, что публичный сайт пытается подключиться к внутреннему устройству, он сначала отправит на него предварительный запрос.
Если ответа не будет, соединение будет заблокировано. Однако если внутреннее устройство ответит, оно может сообщить браузеру, следует ли разрешить запрос, используя заголовок 'Access-Control-Request-Private-Network'.
Это позволяет автоматически блокировать запросы к устройствам во внутренней сети, если устройство явно не разрешает соединение с общедоступными веб-сайтами.
Пока функция находится на стадии предупреждения, даже если проверки не пройдут, она не будет блокировать запросы. Вместо этого разработчики увидят предупреждение в консоли DevTools, что даст им время на адаптацию до начала более строгого применения.
Однако Google предупреждает, что даже если запрос будет заблокирован, автоматическая перезагрузка браузера позволит ему пройти, поскольку он будет рассматриваться как внутреннее => внутреннее соединение.
"Защита доступа к частной сети не будет применяться в этом случае, поскольку эта функция была разработана для защиты частной сети пользователей от более публичных веб-страниц", - предупреждает Google.
Чтобы предотвратить это, Google предлагает блокировать автозагрузку страницы, если функция Private Network Access ранее ее заблокировала.
В этом случае веб-браузер выдаст сообщение об ошибке, в котором говорится, что вы можете разрешить запрос, перезагрузив страницу вручную, как показано ниже.
На этой странице появится новое сообщение об ошибке Google Chrome "BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS", которое будет сообщать вам, что страница не может загрузиться, поскольку не прошла проверку безопасности Private Network Access.
Мотивация этой разработки заключается в том, чтобы не дать вредоносным веб-сайтам в Интернете использовать недостатки устройств и серверов во внутренних сетях пользователей, которые считались защищенными от интернет-угроз.
Это включает в себя защиту от несанкционированного доступа к маршрутизаторам пользователей и программным интерфейсам, работающим на локальных устройствах, что становится все более актуальным, поскольку все больше приложений развертывают веб-интерфейсы, предполагающие несуществующие средства защиты.
Согласно документу поддержки, Google начала изучать эту идею в 2021 году, чтобы предотвратить вредоносные запросы внешних веб-сайтов к ресурсам внутри частной сети (localhost или частный IP-адрес).
Хотя непосредственной целью является снижение рисков, связанных с атаками "SOHO Pharming" и уязвимостями CSRF (Cross-Site Request Forgery), спецификация не нацелена на защиту HTTPS-соединений для локальных сервисов - необходимый шаг для безопасной интеграции публичных и непубличных ресурсов, но выходящий за рамки текущей спецификации.
37Серьезная уязвимость под названием KeyTrap в функции Domain Name System Security Extensions (DNSSEC) может быть использована для запрета доступа приложений в интернет в течение длительного времени.
51ФБР уничтожило ботнет маршрутизаторов для малых и домашних офисов (SOHO), использовавшийся Главным разведывательным управлением Генштаба России (ГРУ) для передачи вредоносного трафика и проведения атак на США и их союзников с целью спирфишинга и кражи учетных данных.
78Microsoft автоматически включает расширенную защиту Windows на серверах Exchange после установки 2024 H1 Cumulative Update (aka CU14), выпущенного в этом месяце.
85Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии