категории | RSS

Новая функция Google Chrome блокирует атаки на домашние сети

Google тестирует новую функцию, предотвращающую атаки с помощью вредоносных общедоступных веб-сайтов через браузер пользователей в частных сетях. Она позволит защитить принтеры, маршрутизаторы и иные устройства, не подключённые к Интернету напрямую.

Функция «Защита доступа к частной сети» заработает в браузере Google Chrome 123 в режиме «только предупреждение». Она будет сканировать общедоступные сайты и перенаправления с них. Так, функция проверит, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определённые запросы, называемые CORS-preflight запросами.

В примере Google разработчики демонстрируют HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети.<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123"> </iframe>

Теперь же, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, при отправке такого предварительного запроса соединение будет заблокировано. Его можно и разрешить, используя заголовок «Access-Control-Request-Private-Network».

Пока, на этапе предупреждения, функция не будет блокировать запросы. Вместо этого разработчики увидят предупреждение в консоли DevTools о том, что проверка не пройдена.

Однако Google предупреждает, что автоматическая перезагрузка браузера позволит запросу пройти даже после его блокировки. Чтобы этого не произошло, компания предлагает заблокировать автоперезагрузку страницы. В этом случае браузер отобразит сообщение об ошибке, в котором будет указано, что выполнение запроса можно разрешить, вручную перезагрузив страницу, как показано ниже.



Источник новости: habr.com

DimonVideo
2024-02-18T12:50:02Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика