Публикация была переведена автоматически. Исходный язык: Казахский
Google продолжает улучшать безопасность веб-браузера Chrome, представляя новую функцию, направленную на предотвращение атак через общедоступные веб-сайты на устройства, находящиеся в частных сетях. Эта функция, названная «Защита доступа к частной сети», предназначена для защиты устройств, таких как принтеры и маршрутизаторы, которые не подключены к интернету напрямую.
Она будет встроена в Google Chrome 123 и будет работать в режиме «только предупреждение». Основная задача этой функции — сканировать общедоступные сайты и перенаправления с них. В частности, она будет проверять, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определенные запросы, известные как CORS-preflight запросы.
Пример, представленный разработчиками Google, демонстрирует HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети. Это позволяет злоумышленникам изменять настройки сетевых устройств пользователя без его ведома.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>Однако благодаря новой функции Chrome, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, он блокирует отправку такого предварительного запроса. На данный момент, на этапе предупреждения, функция не блокирует запросы, но показывает разработчикам предупреждение в консоли DevTools о том, что проверка не пройдена.
Эта новая функция является еще одним шагом Google в обеспечении безопасности пользователей в интернете. Она поможет защитить частные сети от атак, использующих общедоступные веб-сайты, и обеспечит более высокий уровень безопасности при использовании браузера Chrome.
Google жеке желілердегі құрылғылардағы жалпыға қолжетімді веб-сайттар арқылы шабуылдардың алдын алуға бағытталған жаңа мүмкіндікті енгізе отырып, Chrome веб-шолғышының қауіпсіздігін жақсартуды жалғастыруда. "Жеке желіге кіруді қорғау" деп аталатын бұл мүмкіндік Интернетке тікелей қосылмаған принтерлер мен маршрутизаторлар сияқты құрылғыларды қорғауға арналған.
Ол Google Chrome 123 жүйесіне орнатылады және "тек ескерту" режимінде жұмыс істейді. Бұл функцияның негізгі міндеті — жалпыға қолжетімді сайттарды сканерлеу және олардан қайта бағыттау. Атап айтқанда, ол қайта бағыттау ресурсының CORS-preflight ала ұшу сұраулары ретінде белгілі белгілі сұраулар арқылы жалпыға қолжетімді веб-сайттан кіруге рұқсат беретінін тексереді.
Google әзірлеушілері ұсынған мысал жергілікті желідегі келушінің маршрутизаторының DNS конфигурациясын өзгертетін CSRF шабуылын орындайтын жалпыға қолжетімді веб-сайтта HTML iframe көрсетеді. Бұл шабуылдаушыларға пайдаланушы білместен пайдаланушының желілік құрылғыларының параметрлерін өзгертуге мүмкіндік береді.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>Дегенмен, жаңа Chrome мүмкіндігінің арқасында браузер жалпыға қолжетімді сайттың ішкі құрылғыға қосылуға әрекеттеніп жатқанын анықтаған кезде, мұндай алдын ала сұраудың жасалуын блоктайды. Қазіргі уақытта ескерту кезеңінде бұл мүмкіндік сұрауларды блоктамайды, бірақ әзірлеушілерге DevTools консолінде тексерудің сәтсіздігі туралы ескертуді көрсетеді.
Бұл жаңа мүмкіндік Google-дың желідегі пайдаланушылардың қауіпсіздігін қамтамасыз етудегі тағы бір қадамы. Ол жеке желілерді жалпыға қолжетімді веб-сайттарды пайдаланатын шабуылдардан қорғауға көмектеседі және Chrome браузерін пайдалану кезінде үлкен қауіпсіздікті қамтамасыз етеді.
Share
