Η
Google
δοκιμάζει μια νέα δυνατότητα για να εμποδίσει κακόβουλους δημόσιους ιστότοπους να περιστρέφονται μέσω του προγράμματος περιήγησης ενός χρήστη για να επιτεθούν σε συσκευές και υπηρεσίες σε εσωτερικά, ιδιωτικά δίκτυα.
Πιο απλά, η Google σχεδιάζει να αποτρέψει κακούς ιστότοπους στο Διαδίκτυο από το να επιτίθενται στις συσκευές ενός επισκέπτη (όπως εκτυπωτές ή δρομολογητές) στο σπίτι ή στον υπολογιστή σας. Οι άνθρωποι συνήθως θεωρούν αυτές τις συσκευές ασφαλείς, καθώς δεν είναι
απε
υθείας συνδεδεμένες στο διαδίκτυο και προστατεύονται από δρομολογητή.
“Για να αποτρέψει κακόβουλους ιστότοπους να περιστρέφονται μέσω της θέσης δικτύου του παράγοντα χρήστη για να επιτεθούν σε συσκευές και υπηρεσίες που εύλογα υπέθεσαν ότι δεν ήταν προσβάσιμες από το Διαδίκτυο γενικά, λόγω της διαμονής τους στο τοπικό intranet του χρήστη ή στο μηχάνημα του χρήστη”, Google
περιγράφεται
την ιδέα σε ένα έγγραφο υποστήριξης.
Αποκλεισμός μη ασφαλών αιτημάτων σε εσωτερικά δίκτυα
Η προτεινόμενη λειτουργία “Προστασία πρόσβασης ιδιωτικού δικτύου”, η οποία θα είναι σε λειτουργία “μόνο προειδοποίησης” στο Chrome 123, διενεργεί ελέγχους προτού
ένας
δημόσιος ιστότοπος (αναφέρεται ως “ιστότοπος Α”) κατευθύνει ένα πρόγραμμα περιήγησης να επισκεφτεί έναν άλλο ιστότοπο (αναφέρεται στο ως “site B”) εντός του ιδιωτικού δικτύου του χρήστη.
Οι έλεγχοι περιλαμβάνουν την επαλήθευση εάν το αίτημα προέρχεται από ένα ασφαλές πλαίσιο και την αποστολή ενός προκαταρκτικού αιτήματος για να διαπιστωθεί εάν ο ιστότοπος B (π.χ. διακομιστής HTTP που εκτελείται σε διεύθυνση loopback ή στον πίνακα ιστού του δρομολογητή) επιτρέπει την πρόσβαση από έναν δημόσιο ιστότοπο μέσω συγκεκριμένων αιτημάτων που ονομάζονται
CORS αιτήματα προκαταρκτικής πτήσης
.
Σε αντίθεση με τις υπάρχουσες προστασίες για δευτερεύοντες πόρους και εργαζόμενους, αυτή η δυνατότητα εστιάζει ειδικά σε αιτήματα πλοήγησης. Ο πρωταρχικός σκοπός του είναι να προστατεύει τα ιδιωτικά δίκτυα των χρηστών από πιθανές απειλές.
Σε ένα παράδειγμα που παρέχεται από την Google, οι προγραμματιστές απεικονίζουν ένα iframe HTML σε έναν δημόσιο ιστότοπο που εκτελεί μια επίθεση CSRF που αλλάζει τη διαμόρφωση DNS του δρομολογητή ενός επισκέπτη στο τοπικό τους δίκτυο.
<iframe href="https://admin:/set_dns?server1=123.123.123.123">
</iframe>
Σύμφωνα με αυτήν τη νέα πρόταση, όταν το πρόγραμμα περιήγησης εντοπίσει ότι ένας δημόσιος ιστότοπος επιχειρεί να συνδεθεί σε μια εσωτερική συσκευή, το πρόγραμμα περιήγησης θα στείλει πρώτα ένα αίτημα πριν από την πτήση στη συσκευή.
Εάν δεν υπάρξει απάντηση, η σύνδεση θα αποκλειστεί. Ωστόσο, εάν η εσωτερική συσκευή ανταποκριθεί, μπορεί να πει στο πρόγραμμα περιήγησης εάν το αίτημα πρέπει να επιτρέπεται χρησιμοποιώντας ένα «
Access-Control-Request-Private-Network
κεφαλίδα.
Αυτό επιτρέπει τον αυτόματο αποκλεισμό αιτημάτων σε συσκευές σε εσωτερικό δίκτυο, εκτός εάν η συσκευή επιτρέπει ρητά τη σύνδεση από δημόσιους ιστότοπους.
Ενώ βρίσκεστε στο στάδιο προειδοποίησης, ακόμα κι αν αποτύχουν οι έλεγχοι, η δυνατότητα δεν θα μπλοκάρει τα αιτήματα. Αντίθετα, οι προγραμματιστές θα δουν μια προειδοποίηση στην κονσόλα DevTools, δίνοντάς τους χρόνο να προσαρμοστούν πριν ξεκινήσει η αυστηρότερη επιβολή.
Ωστόσο, η Google προειδοποιεί ότι ακόμη και αν ένα αίτημα αποκλειστεί, μια αυτόματη επαναφόρτωση από το πρόγραμμα περιήγησης θα επιτρέψει την εκτέλεση του αιτήματος, καθώς θα μπορούσε να θεωρηθεί ως εσωτερική => εσωτερική σύνδεση.
“Η προστασία πρόσβασης σε ιδιωτικό δίκτυο δεν θα ισχύσει σε αυτήν την περίπτωση, καθώς η δυνατότητα έχει σχεδιαστεί για να προστατεύει το ιδιωτικό δίκτυο των χρηστών από πιο δημόσιες ιστοσελίδες.”
προειδοποιεί η Google
.
Για να αποφευχθεί αυτό, η Google προτείνει τον αποκλεισμό της αυτόματης επαναφόρτωσης μιας σελίδας, εάν η δυνατότητα Πρόσβασης σε ιδιωτικό δίκτυο την είχε αποκλείσει προηγουμένως.
Όταν συμβεί αυτό, το πρόγραμμα περιήγησης ιστού θα εμφανίσει ένα μήνυμα σφάλματος που δηλώνει ότι μπορείτε να επιτρέψετε τη διεκπεραίωση του αιτήματος φορτώνοντας ξανά τη σελίδα με μη αυτόματο τρόπο, όπως φαίνεται παρακάτω.
Η Google αποκλείει το αίτημα επαναφόρτωσης της ιστοσελίδας
Πηγή: Google
Αυτή η σελίδα θα περιλαμβάνει ένα
νέο
μήνυμα σφάλματος του
Google Chrome
, “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS”, για να σας ενημερώνει πότε δεν είναι δυνατή η φόρτωση μιας σελίδας επειδή δεν πέρασε τους ελέγχους ασφαλείας πρόσβασης στο ιδιωτικό δίκτυο.
Η ιδέα πίσω από την αναβάθμιση ασφαλείας
Το κίνητρο πίσω από αυτήν την εξέλιξη είναι να αποτρέψει κακόβουλους ιστότοπους στο Διαδίκτυο από το να εκμεταλλεύονται ελαττώματα σε συσκευές και διακομιστές στα εσωτερικά δίκτυα των χρηστών, τα οποία θεωρούνταν ασφαλή από απειλές που βασίζονται στο Διαδίκτυο.
Αυτό περιλαμβάνει την προστασία από μη εξουσιοδοτημένη πρόσβαση στους δρομολογητές των χρηστών και στις διεπαφές λογισμικού που εκτελούνται σε τοπικές συσκευές—μια αυξανόμενη ανησυχία καθώς περισσότερες εφαρμογές αναπτύσσουν διεπαφές ιστού υποθέτοντας ότι δεν υπάρχουν προστασίες.
Σύμφωνα με α
έγγραφο υποστήριξης
η Google άρχισε να εξερευνά αυτήν την ιδέα το 2021 για να αποτρέψει εξωτερικούς ιστότοπους από το να υποβάλλουν επιβλαβή αιτήματα σε πόρους εντός του ιδιωτικού δικτύου (localhost ή ιδιωτική διεύθυνση IP).
Ενώ ο άμεσος στόχος είναι ο μετριασμός κινδύνων όπως αυτοί από επιθέσεις “SOHO Pharming” και ευπάθειες CSRF (Cross-Site Request Forgery), η προδιαγραφή δεν στοχεύει στην εξασφάλιση συνδέσεων HTTPS για τοπικές υπηρεσίες—ένα απαραίτητο βήμα για την ενοποίηση δημόσιων και μη πόρους με ασφάλεια αλλά πέρα από το τρέχον πεδίο της προδιαγραφής.
VIA:
bleepingcomputer.com
