Търсене
Close this search box.

Google тества нова функция, която предотвратява възможността злонамерени публични уебсайтове да се прехвърлят през браузъра на потребителя, за да атакуват устройства и услуги във вътрешни частни мрежи.

Казано по-просто, Google планира да попречи на лошите уебсайтове в интернет да атакуват устройствата на посетителя (като принтери или рутери) в дома ви или на вашия компютър. Обикновено хората смятат тези устройства за безопасни, тъй като не са директно свързани с интернет и са защитени от рутер.

„За да се предотврати възможността злонамерени уебсайтове да се въртят през мрежовата позиция на агента на потребителя, за да атакуват устройства и услуги, за които основателно се предполага, че са недостъпни от интернет като цяло, поради това, че се намират в локалната интранет мрежа или на машината на потребителя“, описва Google идеята в документ за поддръжка.

Блокиране на опасни заявки към вътрешни мрежи

Предложената функция „Защита на достъпа до частни мрежи“, която ще бъде в режим „само за предупреждение“ в Chrome 123, извършва проверки, преди публичен уебсайт (наричан „сайт А“) да насочи браузъра към посещение на друг сайт (наричан „сайт Б“) в рамките на частната мрежа на потребителя.

Проверките включват проверка дали заявката идва от защитен контекст и изпращане на предварителна заявка, за да се види дали сайт B (например HTTP сървър, работещ на loopback адрес или уеб панел на рутер) разрешава достъп от публичен уебсайт чрез специфични заявки, наречени CORS-preflight заявки.

За разлика от съществуващите защити за подресурси и работници, тази функция се фокусира конкретно върху заявките за навигация. Нейната основна цел е да предпазва частните мрежи на потребителите от потенциални заплахи.

В пример, предоставен от Google, разработчиците илюстрират HTML iframe на публичен уебсайт, който извършва CSRF атака, която променя DNS конфигурацията на маршрутизатора на посетителя в неговата локална мрежа.

<iframe href=“https://admin:admin@router.local/set_dns?server1=123.123.123.123″>
</iframe>

Съгласно това ново предложение, когато браузърът установи, че публичен сайт се опитва да се свърже с вътрешно устройство, браузърът първо ще изпрати предварителна заявка до устройството.

Ако няма отговор, връзката ще бъде блокирана. Ако обаче вътрешното устройство отговори, то може да съобщи на браузъра дали заявката трябва да бъде разрешена, като използва заглавие „Access-Control-Request-Private-Network“.

Това позволява заявките към устройства от вътрешната мрежа да бъдат автоматично блокирани, освен ако устройството изрично не разреши връзката от публични уебсайтове.

Докато е в етап на предупреждение, дори ако проверките са неуспешни, функцията няма да блокира заявките. Вместо това разработчиците ще виждат предупреждение в конзолата DevTools, което ще им даде време да се адаптират, преди да започне по-строгото прилагане.

Въпреки това Google предупреждава, че дори ако заявката бъде блокирана, автоматичното презареждане от страна на браузъра ще позволи на заявката да премине, тъй като тя ще се разглежда като вътрешна => вътрешна връзка.

„Защитата на достъпа до частна мрежа няма да се прилага в този случай, тъй като функцията е създадена, за да защитава частната мрежа на потребителите от по-публични уебстраници“, предупреждава Google.

За да предотврати това, Google предлага да блокира автоматичното презареждане на дадена страница, ако функцията Private Network Access преди това я е блокирала.

Когато това се случи, уеб браузърът ще покаже съобщение за грешка, в което се посочва, че можете да разрешите заявката да премине, като ръчно презаредите страницата, както е показано по-долу.

Google blocks web page reload request
Google блокира заявката за презареждане на уеб страница
Източник: Google

Тази страница ще включва ново съобщение за грешка в Google Chrome – „BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS“, което ще ви информира, когато дадена страница не може да се зареди, защото не е преминала проверките за сигурност за достъп до частна мрежа.

Идеята на обновяването на сигурността

Мотивацията зад тази разработка е да се попречи на злонамерени уебсайтове в интернет да използват недостатъци на устройства и сървъри във вътрешните мрежи на потребителите, които се предполагаше, че са защитени от интернет базирани заплахи.

Това включва защита срещу неоторизиран достъп до рутерите и софтуерните интерфейси на потребителите, работещи на локални устройства – нарастващ проблем, тъй като все повече приложения внедряват уеб интерфейси, предполагащи несъществуващи защити.

Според документа за поддръжка Google е започнала да проучва тази идея през 2021 г., за да попречи на външни уебсайтове да правят вредни заявки към ресурси в частната мрежа (localhost или частен IP адрес).

Макар че непосредствената цел е да се намалят рисковете като тези от атаките „SOHO Pharming“ и уязвимостите CSRF (Cross-Site Request Forgery), спецификацията няма за цел да защити HTTPS връзките за локални услуги – необходима стъпка за сигурно интегриране на публични и непублични ресурси, но извън настоящия обхват на спецификацията.

 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
26/11/2024

Северна Корея разполага фал...

Според Microsoft схемата за фалшиви ИТ...
21/11/2024

DoJ изисква от Google да п...

В потвърждение на по-ранни съобщения Министерството...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!