Google sta lavorando a una nuova funzionalità per proteggere i dispositivi e i servizi degli utenti sulle reti domestiche da siti Web dannosi. Questo “Protezioni per l’accesso alla rete privataLa funzionalità ” sarà disponibile in “modalità di avviso” in Cromo 123.
Quindi, come funzionerà la nuova funzionalità? Andiamo a dare un’occhiata più da vicino alla nuova funzionalità.
Come funziona la nuova funzionalità di protezione dell’accesso alla rete privata di Google?
La protezione dell’accesso alla rete privata entra in azione quando un sito Web tenta di accedere a un dispositivo sulla rete privata dell’utente. Prima di questo processo, il browser esegue una serie di controlli:
- Contesto sicuro: Controlla se la richiesta proviene da una fonte sicura.
- Autorizzazione: Controlla se il dispositivo consente connessioni dal sito web. Per fare ciò, il browser invia richieste speciali chiamate richieste di preflight CORS.
Google sta lavorando a una nuova funzionalità per proteggere i dispositivi e i servizi degli utenti sulle reti domestiche da siti Web dannosi
Se uno qualsiasi di questi controlli fallisce, il browser blocca la connessione. In questo modo le reti domestiche degli utenti sono protette da potenziali minacce.
Ecco un esempio:
Supponiamo che su un sito Web sia presente un iframe HTML che tenta di modificare le impostazioni DNS degli utenti. Questo iframe può provare ad accedere al router dell’utente e modificarne le impostazioni utilizzando il browser.
Il browser bloccherà questa richiesta se le protezioni dell’accesso alla rete privata sono abilitate. Il browser invierà prima una richiesta di preflight al router e il router indicherà che non consente questa richiesta. Pertanto, il browser bloccherà la richiesta di modifica delle impostazioni DNS e il router dell’utente sarà protetto.
Modalità di avviso
Le protezioni dell’accesso alla rete privata sono attualmente disponibili in “modalità di avviso” in Chrome 123. In questa modalità, invece di bloccare le connessioni, il browser mostra un avviso agli sviluppatori nella console DevTools. In questo modo, gli sviluppatori possono apportare le modifiche necessarie per conformarsi a questa funzionalità.
Ricarica automatica
Se un sito web viene bloccato, è comunque possibile stabilire la connessione se il browser viene ricaricato automaticamente. Per evitare ciò, Anche Google pianifica per bloccare i ricaricamenti automatici delle pagine che il Funzionalità di accesso alla rete privata ha bloccato.
Messaggio di errore
Se una pagina non riesce a superare i controlli di sicurezza dell’accesso alla rete privata, il browser mostrerà un nuovo messaggio di errore chiamato: “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS.” Questo messaggio aiuterà gli utenti a capire perché la pagina non può essere caricata.
La motivazione principale alla base di questo sviluppo è impedire che i siti Web dannosi su Internet sfruttino le vulnerabilità nei dispositivi e nei server sulle reti interne degli utenti. Lo scopo è proteggere i dispositivi e i servizi su queste reti, che in precedenza erano considerati sicuri dalle minacce basate su Internet, e impedire l’accesso non autorizzato. Con il crescente utilizzo delle interfacce web nelle applicazioni, la sicurezza della rete diventa ancora più cruciale quando si presuppone che la protezione sia inesistente.
Secondo a Documento di supporto di Google, il lavoro su questa idea è iniziato nel 2021. L’obiettivo è impedire ai siti Web esterni di inviare richieste dannose alle risorse all’interno della rete privata (localhost o un indirizzo IP privato). L’attenzione attuale è rivolta alla mitigazione dei rischi associati a vulnerabilità come “SOHO Pharming” attacchi e CSRF (Cross-Site Request Forgery). Tuttavia, questa fase non prevede l’aggiunta di connessioni HTTPS sicure per i servizi locali, sebbene sia considerata un passaggio necessario per integrare in modo sicuro le risorse interne ed esterne.
Credito immagine in primo piano: Rubaitul Azad / Unsplash
Source: La nuova funzionalità di Google Chrome proteggerà le tue reti domestiche dagli attacchi