Браузер Google Chrome учится блокировать хакерские атаки
Разработчики корпорации Google приступили к тестированию новой функции браузера Chrome. Как сообщили в компании, целью нововведения является блокировка нежелательного доступа через браузер к различным устройствам домашней сети, напрямую к интернету не подключенным. Речь о маршрутизаторах, принтерах и прочих полезных устройствах.
Новая функция получила название «Private Network Access protections» (Защита доступа к частной сети). Обычным пользователям она станет доступна в версиях браузера, начиная с Chrome 123. Обнаруживать угрозы функция будет путём сканирования посещаемых сайтов на предмет перенаправления с них на ресурсы внутри сети через так называемые CORS-запросы.
В качестве примера сотрудники Google привели iframe (компонент html-кода) общедоступного сайта, при помощи которого осуществляется атака на веб-приложения (CSRF-атака) и последующая подделка запроса между ресурсами, в результате чего может быть изменена DNS-конфигурация маршрутизатора в локальной сети пользователя.
Обнаружив попытку отправки подобного запроса, Chrome отправляет дополнительный запрос на соответствующее устройство и, при отсутствии ответа, блокирует соединение. Если же устройство откликнется, то при использовании заголовка «Access-Control-Request-Private-Network» доступ будет разрешён. Разработчики утверждают, что данная схема способна обеспечить должный уровень безопасности от внешних атак на внутренние устройства частных сетей. Впрочем, на этапах проверки функция не станет блокировать запросы, а лишь будет выводить соответствующее предупреждение в консоли DevTools.
Кстати, в компании предупредили, что даже заблокированный новой функцией запрос все-таки будет принят в случае автоматической перезагрузки страницы сайта. Чтобы подобного не случилось в Google рекомендуют отключать автоперезагрузку. В таком случае браузер сообщит об ошибке, однако позволит перезагрузить страницу вручную.