Google Chrome a annoncé son intention d’interdire aux sites Web publics d’accéder directement aux points de terminaison situés dans les réseaux privés dans le cadre d’un prochain remaniement majeur de la sécurité pour empêcher les intrusions via le navigateur.
Le changement proposé devrait être déployé en deux phases consistant en des versions Chrome 98 et Chrome 101 prévues dans les mois à venir via une spécification W3C nouvellement mise en œuvre appelée accès au réseau privé (ANP).
« Chrome va commencer à envoyer un SCRO demande en amont de toute demande de réseau privé pour une sous-ressource, qui demande une autorisation explicite du serveur cible », Titouan Rigoudy et Eiji Kitamura mentionné. « Cette demande de contrôle en amont portera un nouvel en-tête, Access-Control-Request-Private-Network : vrai, et la réponse à celle-ci doit porter un en-tête correspondant, Access-Control-Allow-Private-Network : vrai. »
Cela signifie qu’à partir de la version 101 de Chrome, tout site Web accessible via Internet devra demander l’autorisation explicite du navigateur avant de pouvoir accéder aux ressources du réseau interne. En d’autres termes, la nouvelle spécification PNA ajoute une disposition à l’intérieur du navigateur grâce à laquelle les sites Web peuvent demander à des serveurs bloqués derrière des réseaux locaux d’obtenir une connexion.
« La spécification étend également le protocole Cross-Origin Resource Sharing (CORS) afin que les sites Web doivent désormais demander explicitement une subvention aux serveurs sur les réseaux privés avant d’être autorisés à envoyer des requêtes arbitraires », a déclaré Rigoudy. c’est noté en août 2021, lorsque Google a annoncé pour la première fois son intention de déconseiller l’accès aux points de terminaison du réseau privé à partir de sites Web non sécurisés.
L’objectif, selon les chercheurs, est de protéger les utilisateurs contre la falsification des requêtes intersites (CSRF) attaques ciblage des routeurs et d’autres appareils sur des réseaux privés, qui permettent aux acteurs malveillants de rediriger les utilisateurs sans méfiance vers des domaines malveillants.
Il n’y a pas que Chrome. Le navigateur Edge basé sur Chromium de Microsoft a ajouté un nouveau mode de navigation au canal bêta (version 98.0.1108.23) qui vise à apporter une couche de sécurité supplémentaire pour atténuer l’exploitation future dans la nature des vulnérabilités inconnues du jour zéro.
« Cette fonctionnalité est un énorme pas en avant car elle nous permet d’atténuer les jours zéro actifs imprévus (basés sur les tendances historiques) », Microsoft mentionné. « Lorsqu’elle est activée, cette fonctionnalité apporte la protection contre la pile appliquée par le matériel, la protection du code arbitraire (ACG) et la protection du flux de contenu (CFG) en tant que prise en charge des mesures d’atténuation de la sécurité pour accroître la sécurité des utilisateurs sur le Web. »
