Chrome beperkt de directe toegang van websites tot privénetwerken om veiligheidsredenen

Chrome limita el acceso directo de los sitios web a redes privadas por razones de seguridad Nachrichten

Google Chrome heeft plannen aangekondigd om openbare websites te verbieden rechtstreeks toegang te krijgen tot eindpunten die zich binnen privénetwerken bevinden, als onderdeel van een aanstaande grote beveiligingsverandering om inbraak via de browser te voorkomen.

De voorgestelde wijziging zal in twee fasen worden uitgerold, bestaande uit de releases Chrome 98 en Chrome 101 die in de komende maanden worden gepland via een nieuw geïmplementeerde W3C-specificatie genaamd private network access (PNA).

“Chrome begint met het verzenden van een CORS preflight-verzoek voorafgaand aan elk verzoek van een particulier netwerk voor een subresource, die om expliciete toestemming van de doelserver vraagt,” Titouan Rigoudy en Eiji Kitamura zei. “Dit preflight-verzoek zal een nieuwe header hebben, Access-Control-Request-Private-Network: true, en het antwoord erop moet een bijbehorende header bevatten, Access-Control-Allow-Private-Network: true.”

Dit betekent dat vanaf Chrome-versie 101 elke website die via internet toegankelijk is, expliciet toestemming van de browser moet vragen voordat ze toegang krijgen tot interne netwerkbronnen. Met andere woorden, de nieuwe PNA-specificatie voegt een voorziening toe in de browser waarmee websites servers achter lokale netwerken kunnen verzoeken om een ​​verbinding tot stand te brengen.

“De specificatie breidt ook het Cross-Origin Resource Sharing (CORS)-protocol uit, zodat websites nu expliciet een subsidie ​​moeten aanvragen bij servers op privénetwerken voordat ze willekeurige verzoeken mogen verzenden”, zegt Rigoudy. dat is genoteerd in augustus 2021, toen Google voor het eerst plannen aankondigde om de toegang tot privénetwerkeindpunten van niet-beveiligde websites te beëindigen.

Het doel, aldus de onderzoekers, is om gebruikers te beschermen tegen vervalsing van verzoeken op verschillende sites (CSRF) aanvallen gericht op routers en andere apparaten op privénetwerken, waarmee kwaadwillenden nietsvermoedende gebruikers kunnen omleiden naar kwaadaardige domeinen.

Het is niet alleen Chrome. De op Chromium gebaseerde Edge-browser van Microsoft heeft een nieuwe browsemodus toegevoegd aan het bètakanaal (versie 98.0.1108.23) die tot doel heeft een extra beveiligingslaag te bieden om toekomstige in-the-wild-exploitatie van onbekende zero-day-kwetsbaarheden te verminderen.

“Deze functie is een enorme stap voorwaarts omdat het ons in staat stelt onvoorziene actieve nuldagen (op basis van historische trends) te verminderen”, Microsoft zei. “Als deze functie is ingeschakeld, biedt deze functie Hardware-enforced Stack Protection, Arbitrary Code Guard (ACG) en Content Flow Guard (CFG) als ondersteunende beveiligingsmaatregelen om de veiligheid van gebruikers op internet te vergroten.”

David
Rate author
Hackarizona