Новая функция Google Chrome блокирует атаки на домашние сети

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.056
Репутация
9.908
Реакции
15.251
RUB
1.045
Сделок через гаранта
18
Google новую функцию, предотвращающую атаки с помощью вредоносных общедоступных веб-сайтов через браузер пользователей в частных сетях. Она позволит защитить принтеры, маршрутизаторы и иные устройства, не подключённые к Интернету напрямую.
Функция «Защита доступа к частной сети» заработает в браузере Google Chrome 123 в режиме «только предупреждение». Она будет сканировать общедоступные сайты и перенаправления с них. Так, функция проверит, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определённые запросы, называемые CORS-preflight запросами.
В примере Google разработчики демонстрируют HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети.

<iframe href=" ">

</iframe>

Теперь же, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, при отправке такого предварительного запроса соединение будет заблокировано. Его можно и разрешить, используя заголовок «Access-Control-Request-Private-Network».
Пока, на этапе предупреждения, функция не будет блокировать запросы. Вместо этого разработчики увидят предупреждение в консоли DevTools о том, что проверка не пройдена.
Однако Google , что автоматическая перезагрузка браузера позволит запросу пройти даже после его блокировки. Чтобы этого не произошло, компания предлагает заблокировать автоперезагрузку страницы. В этом случае браузер отобразит сообщение об ошибке, в котором будет указано, что выполнение запроса можно разрешить, вручную перезагрузив страницу, как показано ниже.
53c275abbe4f16e9b3e87272510bf3ec.JPG


 
  • Теги
    google google chrome блокировка веб-сайты запрос
  • Сверху Снизу