Google тестирует новую функцию, предотвращающую атаки с помощью вредоносных общедоступных веб-сайтов через браузер пользователей в частных сетях. Она позволит защитить принтеры, маршрутизаторы и иные устройства, не подключённые к Интернету напрямую.
Функция «Защита доступа к частной сети» заработает в браузере Google Chrome 123 в режиме «только предупреждение». Она будет сканировать общедоступные сайты и перенаправления с них. Так, функция проверит, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определённые запросы, называемые CORS-preflight запросами.
В примере Google разработчики демонстрируют HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>Теперь же, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, при отправке такого предварительного запроса соединение будет заблокировано. Его можно и разрешить, используя заголовок «Access-Control-Request-Private-Network».
Пока, на этапе предупреждения, функция не будет блокировать запросы. Вместо этого разработчики увидят предупреждение в консоли DevTools о том, что проверка не пройдена.
Однако Google предупреждает, что автоматическая перезагрузка браузера позволит запросу пройти даже после его блокировки. Чтобы этого не произошло, компания предлагает заблокировать автоперезагрузку страницы. В этом случае браузер отобразит сообщение об ошибке, в котором будет указано, что выполнение запроса можно разрешить, вручную перезагрузив страницу, как показано ниже.
