Google Chrome, tarayıcı aracılığıyla izinsiz girişleri önlemek için yaklaşan büyük bir güvenlik sarsıntısının bir parçası olarak, herkese açık web sitelerinin özel ağlarda bulunan uç noktalara doğrudan erişmesini yasaklama planlarını duyurdu.
Önerilen değişiklik, özel ağ erişimi adı verilen yeni uygulanan bir W3C spesifikasyonu aracılığıyla önümüzdeki aylarda planlanan Chrome 98 ve Chrome 101 sürümlerinin bir parçası olarak iki aşamada kullanıma sunulacaktır (PNA).
“Chrome bir CORS Titouan Rigoudy ve Eiji Kitamura, hedef sunucudan açık izin isteyen bir alt kaynak için herhangi bir özel ağ isteğinden önce ön kontrol isteği söz konusu. “Bu ön kontrol isteği, Access-Control-Request-Private-Network: true adlı yeni bir üstbilgi taşıyacak ve buna verilen yanıt, Access-Control-Allow-Private-Network: true adlı ilgili bir üstbilgi taşımalıdır.”
Bunun anlamı, Chrome sürüm 101’den başlayarak, internet üzerinden erişilebilen herhangi bir web sitesinin, dahili ağ kaynaklarına erişmeden önce tarayıcıdan açık izin istemesi sağlanacağıdır. Başka bir deyişle, yeni PNA belirtimi, web sitelerinin bir bağlantı elde etmek için yerel ağların arkasındaki sunucuları talep edebileceği tarayıcının içine bir hüküm ekler.
Rigoudy, “Spesifikasyon ayrıca, Kaynaklar Arası Kaynak Paylaşımı (CORS) protokolünü de genişletiyor, böylece web sitelerinin artık keyfi istekler göndermesine izin verilmeden önce özel ağlardaki sunuculardan açıkça bir hibe talep etmesi gerekiyor.” kayıt edilmiş Ağustos 2021’de, güvenli olmayan web sitelerinden özel ağ uç noktalarına erişimi kullanımdan kaldırma planlarını ilk kez duyurduğunda.
Araştırmacılar, amacın, kullanıcıları siteler arası istek sahteciliğinden korumak olduğunu söyledi (CSRF) saldırılar yönlendiricileri hedefleme ve kötü niyetli kişilerin şüphelenmeyen kullanıcıları kötü amaçlı alanlara yönlendirmesine olanak tanıyan özel ağlardaki diğer cihazlar.
.
siber-2