O Google está testando um novo recurso no Chrome que bloqueia ataques contra redes domésticas. Esse recurso é uma maneira de evitar que sites públicos maliciosos passem pelo navegador do usuário para atacar dispositivos e serviços em redes privadas internas.
Novo recurso do Google Chrome bloqueia ataques contra redes
O Google planeja evitar que sites ruins na Internet ataquem os dispositivos de um visitante (como impressoras ou roteadores) em sua casa ou computador. As pessoas geralmente consideram esses dispositivos seguros porque não estão diretamente conectados à Internet e são protegidos por um roteador.
Para evitar que sites maliciosos passem pela posição de rede do agente do usuário para atacar dispositivos e serviços que razoavelmente presumiam que eram inacessíveis da Internet em geral, em virtude de residirem na intranet local do usuário ou na máquina do usuário.
Google
Notícias Relacionadas
Bing lança nova interface de pesquisa que pode fazer você deixar o Google
A Microsoft está apostando bastante na força da IA no Bing. A partir de agora, as páginas de pesquisa do Bing exibirão uma visualização dividida com resultados tradicionais da web à direita e caixas de informações alimentadas por IA à esquerda. Nova interface da pesquisa Bing De acordo com o post de anúncio da Microsoft […]
Google trabalha em um decodificador de TV Streamer
O Google está desenvolvendo um novo dispositivo Chromecast com Google TV. Esse novo dispositivo parece drasticamente diferente do que vimos até agora nos lançamentos da empresa. Google TV Streamer De acordo com o 9to5Google (Via GSMArena), esse novo dispositivo em desenvolvimento pelo Google seria chamado de TV Streamer e teria um design de set-top box […]
Bloqueie solicitações inseguras para redes internas
O recurso proposto “Proteções de acesso à rede privada”, que estará no modo “somente aviso” no Chrome 123, realiza verificações antes que um site público (referido como “site A”) direcione um navegador para visitar outro site (referido como como “site B”) dentro da rede privada do usuário.
As verificações incluem verificar se a solicitação vem de um contexto seguro e enviar uma solicitação preliminar para verificar se o site B (por exemplo, servidor HTTP rodando no endereço de loopback ou painel web do roteador) permite acesso de um site público através de solicitações específicas chamadas solicitações de pré-voo CORS. Ao contrário das proteções existentes para sub-recursos e trabalhadores, esta funcionalidade concentra-se especificamente em pedidos de navegação. Seu objetivo principal é proteger as redes privadas dos usuários contra ameaças potenciais.
Em um exemplo fornecido pelo Google, os desenvolvedores ilustram um iframe HTML em um site público que executa um ataque CSRF que altera a configuração DNS do roteador de um visitante em sua rede local. De acordo com esta nova proposta, quando o navegador detecta que um site público tenta se conectar a um dispositivo interno, o navegador enviará primeiro uma solicitação de comprovação ao dispositivo.
Se não houver resposta, a conexão será bloqueada. No entanto, se o dispositivo interno responder, ele poderá informar ao navegador se a solicitação deve ser permitida usando um cabeçalho “Access-Control-Request-Private-Network”. Isto permite que solicitações para dispositivos em uma rede interna sejam bloqueadas automaticamente, a menos que o dispositivo permita explicitamente a conexão de sites públicos.
Enquanto estiver na fase de aviso, mesmo que as verificações falhem, o recurso não bloqueará as solicitações. Em vez disso, os desenvolvedores verão um aviso no console do DevTools, dando-lhes tempo para se ajustarem antes do início de uma aplicação mais rigorosa. Porém, o Google alerta que mesmo que uma solicitação seja bloqueada, um recarregamento automático do navegador permitirá que a solicitação seja processada, pois seria vista como uma conexão interna => interna.
Para evitar isso, o Google propõe bloquear o recarregamento automático de uma página se o recurso Acesso à rede privada a bloqueou anteriormente. Quando isso acontecer, o navegador exibirá uma mensagem de erro informando que você pode permitir a solicitação recarregando manualmente a página, conforme mostrado abaixo.
Esta página incluiria uma nova mensagem de erro do Google Chrome, “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS”, para informar quando uma página não pode ser carregada porque não passou nas verificações de segurança de acesso à rede privada.
