‫ گوگل کروم حملات علیه شبکه های خانگی را مسدود می کند

گوگل در حال آزمایش یک ویژگی جدید برای جلوگیری از چرخش وب سایت های عمومی مخرب از طریق مرورگر کاربر برای حمله به دستگاه ها و خدمات در شبکه های داخلی و خصوصی است.

ساده تر، گوگل قصد دارد از حمله وب سایت های بد موجود در اینترنت به دستگاه های بازدیدکننده (مانند چاپگرها یا روترها) در خانه یا رایانه شما جلوگیری کند. مردم معمولاً این دستگاه ها را ایمن می دانند زیرا مستقیماً به اینترنت متصل نیستند و توسط روتر محافظت می شوند.

درخواست های ناامن را به شبکه های داخلی مسدود کنید

ویژگی پیشنهادی «حفاظت‌های دسترسی به شبکه خصوصی»، که در حالت «فقط هشدار» در Chrome 123 خواهد بود، قبل از اینکه یک وب‌سایت عمومی (به عنوان «سایت A» نامیده می‌شود) به مرورگر دستور دهد تا از سایت دیگری بازدید کند، بررسی می‌کند. به عنوان "سایت B") در شبکه خصوصی کاربر.

این بررسی‌ها شامل تأیید اینکه آیا درخواست از یک زمینه امن می‌آید و ارسال یک درخواست اولیه برای دیدن اینکه آیا سایت B (به عنوان مثال سرور HTTP در حال اجرا بر روی آدرس حلقه‌ای یا پانل وب روتر) اجازه دسترسی از یک وب‌سایت عمومی را از طریق درخواست‌های خاصی به نام درخواست‌های CORS-preflight می‌دهد یا خیر.

برخلاف حفاظت های موجود برای منابع فرعی ، این ویژگی به طور خاص بر روی درخواست های ناوبری تمرکز می کند. هدف اصلی آن محافظت از شبکه های خصوصی کاربران در برابر تهدیدات احتمالی است.

در مثال ارائه شده توسط Google، توسعه دهندگان یک iframe HTML را در یک وب سایت عمومی نشان می دهند که یک حمله CSRF را انجام می دهد که پیکربندی DNS روتر بازدیدکننده را در شبکه محلی آنها تغییر می دهد.

بر اساس این پیشنهاد جدید، زمانی که مرورگر تشخیص می‌دهد که یک سایت عمومی تلاش می‌کند به یک دستگاه داخلی متصل شود، مرورگر ابتدا یک درخواست پیش از پرواز به دستگاه ارسال می‌کند.

در صورت عدم پاسخگویی، اتصال مسدود خواهد شد. با این حال، اگر دستگاه داخلی پاسخ دهد، می‌تواند به مرورگر بگوید که آیا درخواست باید با استفاده از هدر « دسترسی-کنترل-درخواست-شبکه خصوصی » مجاز باشد یا خیر.

این اجازه می دهد تا درخواست های دستگاه های موجود در یک شبکه داخلی به طور خودکار مسدود شوند، مگر اینکه دستگاه به صراحت اجازه اتصال از وب سایت های عمومی را بدهد.

در مرحله هشدار، حتی اگر بررسی ها با شکست مواجه شوند، این ویژگی درخواست ها را مسدود نمی کند. در عوض، توسعه‌دهندگان هشداری را در کنسول DevTools مشاهده می‌کنند که به آن‌ها زمان می‌دهد تا قبل از شروع اجرای سخت‌گیرانه‌تر، خود را تنظیم کنند.

با این حال، گوگل هشدار می دهد که حتی اگر یک درخواست مسدود شود، بارگیری مجدد خودکار توسط مرورگر به درخواست اجازه می دهد تا از طریق آن عبور کند، زیرا به عنوان یک اتصال داخلی => داخلی دیده می شود.

Google هشدار می‌دهد : «حفاظت‌های دسترسی به شبکه خصوصی در این مورد اعمال نمی‌شوند، زیرا این ویژگی برای محافظت از شبکه خصوصی کاربران در برابر صفحات وب عمومی‌تر طراحی شده است» .

برای جلوگیری از این امر، Google پیشنهاد می‌کند در صورتی که ویژگی دسترسی به شبکه خصوصی قبلاً آن را مسدود کرده بود، بارگذاری مجدد خودکار صفحه را مسدود کند.

هنگامی که این اتفاق می افتد، مرورگر وب پیغام خطایی را نشان می دهد که می گوید می توانید با بارگیری مجدد دستی صفحه، اجازه دهید درخواست انجام شود.

این صفحه شامل یک پیام خطای جدید Google Chrome، "BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS" است تا به شما بگوید چه زمانی صفحه نمی تواند بارگیری شود زیرا بررسی های امنیتی دسترسی به شبکه خصوصی را رد نکرده است.

ایده پشت ارتقای امنیت

انگیزه پشت این توسعه، جلوگیری از سوء استفاده وب‌سایت‌های مخرب در اینترنت از نقص‌های دستگاه‌ها و سرورهای شبکه‌های داخلی کاربران است که به نظر می‌رسد از تهدیدات مبتنی بر اینترنت در امان هستند.

این شامل محافظت در برابر دسترسی غیرمجاز به روترهای کاربران و رابط‌های نرم‌افزاری است که بر روی دستگاه‌های محلی اجرا می‌شوند نگرانی فزاینده‌ای چون برنامه‌های کاربردی بیشتر رابط‌های وب را با فرض عدم وجود حفاظتی مستقر می‌کنند.

بر اساس یک سند پشتیبانی ، گوگل در سال 2021 شروع به بررسی این ایده کرد تا از درخواست‌های مضر وب‌سایت‌های خارجی برای منابع درون شبکه خصوصی (لوکال هاست یا آدرس IP خصوصی) جلوگیری کند.

در حالی که هدف فوری کاهش خطراتی مانند حملات «SOHO Pharming» و آسیب‌پذیری‌های CSRF (جعل درخواست متقابل سایت) است، هدف این مشخصات، ایمن کردن اتصالات HTTPS برای سرویس‌های محلی نیست  گامی ضروری برای ادغام عمومی و غیرعمومی. منابع ایمن اما فراتر از محدوده فعلی مشخصات است.