Разработчики Гугл Chrome тестируют новейшую практичность, которая должна перекрыть кибератаки на домашние сети через просмотрщик. В версии Chrome 123 её планируют запустить в режиме «только предостерегать».
© globallookpress.com
Основная цель — уравнивать атаки на домашние устройства вроде принтеров, маршрутизаторов и т. п. Обычно, юзеры считают, что такие устройства защищены, но на самом деле всё по другому.
«Инновация поможет предупредить деяния вредных сайтов, обладатели которых нацелены на устройства и службы во внутренних сетях юзеров», — пишет Гугл.
Получившая имя «Private Network Доступ protections» практичность будет делать ряд проверок при попытке 1-го ресурса переадресовать юзера на другой ресурс снутри личной сети.
Проверки будут включать отправку подготовительного запроса, который должен показать допускает ли итоговый ресурс доступ с общественного ресурса через определённые запросы — CORS.
Девелоперы Гугл Chrome привели пример: размещённый на общедоступном ресурсе ифрейм HTML, реализующий атаку вида CSRF и изменяющий с её помощью конфигурацию DNS на маршрутизаторе в локальной сети.
<iframe href=«https://админ:админ@router.local/set_dns?server1=123.123.123.123»></iframe>
Так, если просмотрщик увидит, что общедоступный ресурс пробует присоединиться к внутреннему устройству, Chrome вышлет первоначальный запрос. Если ответа не последует, соединение будет заблокировано.
