The post has been translated automatically. Original language: Kazakh
Google continues to improve the security of the Chrome web browser by introducing a new feature aimed at preventing attacks through public websites on devices located on private networks. This feature, called "Private Network Access Protection ," is designed to protect devices such as printers and routers that are not directly connected to the Internet.
It will be embedded in Google Chrome 123 and will work in the " warning only" mode. The main purpose of this function is to scan public sites and redirect from them. In particular, it will check whether the redirect resource allows access from a public website through certain requests, known as CORS-preflight requests.
The example provided by Google developers demonstrates an HTML iframe on a public website that performs a CSRF attack that changes the DNS configuration of a visitor's router on his local network. This allows attackers to change the settings of the user's network devices without their knowledge.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>However, thanks to the new Chrome feature, when the browser detects that a public site is trying to connect to an internal device, it blocks sending such a preliminary request. At the moment,in the "warning only" mode, the function does not block requests, but shows developers a warning in the console DevTools that the verification failed.
This new feature is another step by Google in keeping users safe online. It will help protect private networks from attacks using public websites and provide a higher level of security when using the Chrome browser.
Google жеке желілердегі құрылғылардағы жалпыға қолжетімді веб-сайттар арқылы шабуылдардың алдын алуға бағытталған жаңа мүмкіндікті енгізе отырып, Chrome веб-шолғышының қауіпсіздігін жақсартуды жалғастыруда. "Жеке желіге кіруді қорғау" деп аталатын бұл мүмкіндік Интернетке тікелей қосылмаған принтерлер мен маршрутизаторлар сияқты құрылғыларды қорғауға арналған.
Ол Google Chrome 123 жүйесіне орнатылады және "тек ескерту" режимінде жұмыс істейді. Бұл функцияның негізгі міндеті — жалпыға қолжетімді сайттарды сканерлеу және олардан қайта бағыттау. Атап айтқанда, ол қайта бағыттау ресурсының CORS-preflight ала ұшу сұраулары ретінде белгілі белгілі сұраулар арқылы жалпыға қолжетімді веб-сайттан кіруге рұқсат беретінін тексереді.
Google әзірлеушілері ұсынған мысал жергілікті желідегі келушінің маршрутизаторының DNS конфигурациясын өзгертетін CSRF шабуылын орындайтын жалпыға қолжетімді веб-сайтта HTML iframe көрсетеді. Бұл шабуылдаушыларға пайдаланушы білместен пайдаланушының желілік құрылғыларының параметрлерін өзгертуге мүмкіндік береді.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>Дегенмен, жаңа Chrome мүмкіндігінің арқасында браузер жалпыға қолжетімді сайттың ішкі құрылғыға қосылуға әрекеттеніп жатқанын анықтаған кезде, мұндай алдын ала сұраудың жасалуын блоктайды. Қазіргі уақытта ескерту кезеңінде бұл мүмкіндік сұрауларды блоктамайды, бірақ әзірлеушілерге DevTools консолінде тексерудің сәтсіздігі туралы ескертуді көрсетеді.
Бұл жаңа мүмкіндік Google-дың желідегі пайдаланушылардың қауіпсіздігін қамтамасыз етудегі тағы бір қадамы. Ол жеке желілерді жалпыға қолжетімді веб-сайттарды пайдаланатын шабуылдардан қорғауға көмектеседі және Chrome браузерін пайдалану кезінде үлкен қауіпсіздікті қамтамасыз етеді.
Share
