Google продолжает улучшать безопасность веб-браузера Chrome, представляя новую функцию, направленную на предотвращение атак через общедоступные веб-сайты на устройства, находящиеся в частных сетях. Эта функция, названная «Защита доступа к частной сети», предназначена для защиты устройств, таких как принтеры и маршрутизаторы, которые не подключены к интернету напрямую.

Она будет встроена в Google Chrome 123 и будет работать в режиме «только предупреждение». Основная задача этой функции — сканировать общедоступные сайты и перенаправления с них. В частности, она будет проверять, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определенные запросы, известные как CORS-preflight запросы.

Пример, представленный разработчиками Google, демонстрирует HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети. Это позволяет злоумышленникам изменять настройки сетевых устройств пользователя без его ведома.

<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>

Однако благодаря новой функции Chrome, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, он блокирует отправку такого предварительного запроса. На данный момент, на этапе предупреждения, функция не блокирует запросы, но показывает разработчикам предупреждение в консоли DevTools о том, что проверка не пройдена.

Эта новая функция является еще одним шагом Google в обеспечении безопасности пользователей в интернете. Она поможет защитить частные сети от атак, использующих общедоступные веб-сайты, и обеспечит более высокий уровень безопасности при использовании браузера Chrome.