ایجاد محدودیت دسترسی مستقیم وب سایتها به شبکههای خصوصی به دلایل امنیتی توسط کروم
اخبار داغ فناوری اطلاعات و امنیت شبکه
گوگل کروم اعلام کرده است که قصد دارد وب سایتهای عمومی را از دسترسی مستقیم به اند پوینت مستقر در شبکههای خصوصی به عنوان بخشی از تغییرات امنیتی بزرگ آینده برای جلوگیری از نفوذ از طریق مرورگر، منع و مسدود نماید.
تغییر پیشنهادی قرار است در دو مرحله شامل انتشار کروم 98 و کروم 101 که در ماههای آینده از طریق جزییات W3C جدید که اجرا شده و با نام دسترسی به شبکه خصوصی (PNA) برنامهریزی شده است، ارائه گردد.
تیتوآن ریگودی و ایجی کیتامورا گفتند: "Chrome قبل از هر درخواست شبکه خصوصی برای یک منبع فرعی که از سرور هدف اجازه مستقیم میخواهد، درخواست CORS را ارسال میکند. این درخواست قبل از انتقال یک هدر جدید به نام Access-Control-Request-Private-Network: true انجام شده و پاسخ به آن باید یک هدر مربوطه داشته باشد، Access-Control-Allow-Private-Network: true".
این بدان معنی است که با آغاز به کار نسخه ۱۰۱ کروم، هر وبسایتی که از طریق اینترنت قابل دسترسی است، قبل از اینکه بتواند به منابع شبکه داخلی دسترسی پیدا کند، از مرورگر اجازه میگیرد. به عبارت دیگر، مشخصات PNA جدید یک شرط در داخل مرورگر اضافه میکند که از طریق آن وبسایتها میتوانند از سرورهایی که در پس شبکههای محلی قرار دارند برای به دست آوردن اتصال، درخواست نمایند.
ریگودی در آگوست ۲۰۲۱، زمانی که Google برای اولین بار برنامههای خود را برای رد کردن دسترسی به اندپوینت شبکه خصوصی از وب سایتهای غیر ایمن اعلام کرد، خاطرنشان نمود: «این مشخصات همچنین پروتکل اشتراکگذاری منابع متقاطع یا Cross-Origin Resource Sharing (CORS) را به طوری گسترش میدهد که وبسایتها اکنون باید صراحتا از سرورهای موجود در شبکههای خصوصی قبل از اینکه درخواستهای دلخواه ارسال کنند، درخواست کمک کنند».
به گفته محققان، هدف این کار محافظت از کاربران در برابر حملات جعل درخواست متقابل یا Cross-site request forgery (CSRF) است که روترها و سایر دستگاهها را در شبکههای خصوصی هدف قرار میدهند، و به عاملان مخرب اجازه میدهد تا کاربران نامشخص را به سمت دامنههای مخرب تغییر مسیر دهند.
این مورد تنها محدود به کروم نیست. مرورگر اج مبتنی بر کرومیوم مایکروسافت حالت مرور جدیدی را به نسخه بتا (نسخه 98.0.1108.23) اضافه کرده است که هدف آن ایجاد یک لایه امنیتی اضافی برای کاهش بهرهبرداری در ضای سایبری از آسیبپذیریهای روز صفر ناشناخته است.
مایکروسافت گفت: «این ویژگی گام بزرگی رو به جلو است زیرا به ما امکان میدهد مخاطرات روز صفرهای فعال پیشبینینشده (بر اساس روندهای تاریخی) را کاهش دهیم. هنگامی که این ویژگی فعال میشود، حفاظت استک یا Stack Protection سختافزاری، حفاظت از کد دلخواه یا Arbitary Code Guard (ACG) و محافظ جریان محتوا یا Content Flow Guard (CFG) را به جهت پشتیبانی از کاهش مخاطرات امنیتی برای افزایش امنیت کاربران در وب به ارمغان میآورد».
برچسب ها: Website, Private Network, اند پوینت, CFG, Content Flow Guard, Arbitary Code Guard, ACG, Stack Protection, CSRF, Cross-site request forgery, Cross-Origin Resource Sharing, PNA, CORS, وب سایت, کرومیوم, روز صفر, گوگل کروم, کروم, cybersecurity, Endpoint, Google Chrome, Chrome, مایکروسافت, Zero Day, امنیت سایبری, Cyber Attacks, حمله سایبری