Google Chrome đã công bố kế hoạch cấm các trang web công cộng truy cập trực tiếp vào các điểm cuối nằm trong các mạng riêng tư như một phần của đợt thay đổi bảo mật lớn sắp tới để ngăn chặn sự xâm nhập thông qua trình duyệt.
Thay đổi được đề xuất sẽ được triển khai trong hai giai đoạn như một phần của các bản phát hành Chrome 98 và Chrome 101 được lên lịch trong những tháng tới thông qua một đặc tả W3C mới được triển khai có tên là truy cập mạng riêng (PNA).
Titouan Rigoudy và Eiji Kitamura cho biết: “Chrome sẽ bắt đầu gửi yêu cầu khởi hành trước CORS trước bất kỳ yêu cầu mạng riêng tư nào cho một nguồn phụ. “Yêu cầu preflight này sẽ mang một tiêu đề mới, Access-Control-Request-Private-Network: true và phản hồi cho nó phải mang một tiêu đề tương ứng, Access-Control-Allow-Private-Network: true.”
Điều này có nghĩa là bắt đầu với phiên bản Chrome 101, bất kỳ trang web nào có thể truy cập qua internet sẽ được thực hiện để xin phép trình duyệt rõ ràng trước khi chúng có thể truy cập tài nguyên mạng nội bộ. Nói cách khác, đặc tả PNA mới bổ sung một điều khoản bên trong trình duyệt mà thông qua đó các trang web có thể yêu cầu các máy chủ giám sát phía sau các mạng cục bộ để có được kết nối.
“Đặc điểm kỹ thuật cũng mở rộng giao thức Chia sẻ tài nguyên chéo (CORS) để các trang web hiện phải yêu cầu rõ ràng một khoản cấp từ các máy chủ trên mạng riêng trước khi được phép gửi các yêu cầu tùy ý”, Rigoudy lưu ý vào tháng 8 năm 2021, khi lần đầu tiên công bố kế hoạch. để ngừng truy cập vào các điểm cuối của mạng riêng tư từ các trang web không an toàn.
Các nhà nghiên cứu cho biết, mục tiêu là để bảo vệ người dùng khỏi các cuộc tấn công giả mạo yêu cầu trên nhiều trang web (CSRF) nhắm mục tiêu vào bộ định tuyến và các thiết bị khác trên mạng riêng, cho phép những kẻ xấu định hướng người dùng không nghi ngờ đến các miền độc hại.
.
