Защита частных сетевых доступов: Google обезопасит роутеры и принтеры от хакеров

Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.

Основная задача новой функции , получившей название "Защита частных сетевых доступов", состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.

В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.

<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">    </iframe>

На основе новых мер безопасности, когда браузер замечает попытку публичного сайта соединиться с устройством в локальной сети, он инициирует отправку предварительного запроса к данному устройству. В случае отсутствия ответа соединение автоматически блокируется, предотвращая потенциальную угрозу. Однако, если устройство откликается на запрос, оно имеет возможность сообщить браузеру о допустимости запрашиваемого действия используя заголовок « Access-Control-Request-Private-Network », тем самым контролируя доступ из внешней сети. Это обеспечивает дополнительный уровень защиты для устройств внутри частной сети, повышая их безопасность перед лицом внешних атак.

На начальном этапе, даже если проверки не пройдены, функция не будет блокировать запросы, а разработчики увидят предупреждение в консоли DevTools, что даст им время на адаптацию перед введением более строгих ограничений.

Google также предупреждает, что в случае блокировки запроса, автоматическая перезагрузка страницы браузером позволит запросу пройти, поскольку он будет рассматриваться как внутреннее соединение. Чтобы предотвратить это, Google предлагает блокировать автоматическую перезагрузку страницы, если функция "Защита частных сетевых доступов" ранее ее блокировала.

Когда это произойдет, веб-браузер отобразит сообщение об ошибке, в котором будет указано, что вы можете разрешить выполнение запроса, вручную перезагрузив страницу, как показано ниже.

Инициатива Google нацелена на обеспечение безопасности устройств и серверов в пользовательских локальных сетях, предотвращая доступ извне к роутерам и локальным программным интерфейсам. С увеличением количества приложений, полагающихся на веб-интерфейсы без встроенной защиты, важность таких мер безопасности неуклонно растет.