Chrome ограничит доступ к приватным сетям из соображений безопасности

Совсем скоро браузер Chrome начнет блокировать сайтам возможность отвечать и взаимодействовать с устройствами и серверами в локальных приватных сетях. Причиной являются опасения по поводу безопасности и известные случаи злоупотреблений.

Изменения будут реализованы путем внедрения в браузер новой спецификации W3C под названием Private Network Access (PNA) в первом полугодии 2022 года. Новая спецификация PNA добавляет в Chrome механизм, через который сайты могут запрашивать у систем в локальных сетях разрешение на установку соединения.

Chrome начнет отправлять предварительный CORS-запрос перед любым запросом приватных сетей на подресурс, пояснили в Google. Этот предварительный запрос представляет собой запрос на явное разрешение от целевого сервера. Предварительный запрос будет содержать новый заголовок Access-Control-Request-Private-Network: true, и ответ также должен будет содержать заголовок Access-Control-Allow-Private-Network: true.

Если локальные устройства (серверы, маршрутизаторы и пр.) не отвечают, сайты не будут к ним подключаться.

С начала 2010-х годов киберпреступные группировки поняли, что браузеры можно использовать как прокси для подключения ко внутренним корпоративным сетям. Например, вредоносный сайт может содержать код, пытающийся подключаться к IP-адресу наподобие 192.168.0.1, являющемуся адресом большинства панелей администрирования маршрутизатора.

Когда пользователи заходят на такой вредоносный сайт, их браузеры могут делать автоматический запрос на маршрутизатор без ведома пользователей, отправляя вредоносный код, способный обходить аутентификацию маршрутизатора и модифицировать его настройки. Этот тип атак является не только теоретическим и периодически применяется на практике.

Варианты этих атак также могут атаковать другие локальные системы, такие как внутренние серверы, контроллеры домена, межсетевые экраны и даже локально развернутые приложения (через домен http://localhost или другие локально определенные домены).

Добавив спецификацию PNA в Chrome и его систему согласования разрешений, Google намерена предотвратить подобные автоматизированные атаки.

По данным Google, версия PNA уже поставляется с Chrome 96, но полная поддержка будет развернута в нынешнем году в два этапа в Chrome 98 (в начале марта) и Chrome 101 (конец мая).