Контакти Новини Акції Укр Рус
Контакт: +380503703627 info@itpro.ua
+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Google додасть специфікацію PNA у Chrome

Google додасть специфікацію PNA до Chrome

PNA вже поставляється з Chrome 96, але повна підтримка буде розгорнута в цьому році в два етапи в Chrome 98 (початок березня) і Chrome 101 (кінець травня).

Chrome почне блокувати сайти від реагування та взаємодії з пристроями та серверами в локальних приватних мережах. Причина - побоювання з приводу безпеки і відомі випадки зловживань.

Зміни будуть реалізовані шляхом введення в браузер нової специфікації W3C під назвою Private Network Access (PNA) в першій половині 2022 року. Нова специфікація PNA додає в Chrome механізм, за допомогою якого сайти можуть запитувати дозвіл у систем в локальних мережах на встановлення з'єднання.

Chrome почне надсилати попередній запит CORS перед будь-яким запитом з приватних мереж на підресурсур, пояснили в Google. Цей попередній запит є явним запитом на дозвіл від цільового сервера. Попередній запит буде містити новий Access-Control-Request-Private-Network: справжній заголовок, а відповідь також повинен буде містити Access-Control-Allow-Private-Network: true header.

Якщо локальні пристрої (сервери, маршрутизатори і т.д.) не відповідають, сайти до них не будуть підключатися.

З початку 2010-х років кіберзлочинні групи зрозуміли, що браузери можна використовувати як проксі для підключення до внутрішніх корпоративних мереж. Наприклад, шкідливий сайт може містити код, який намагається підключитися до IP-адреси, наприклад 192.168.0.1, яка є адресою більшості панелей адміністрування маршрутизатора.

При відвідуванні користувачами такого шкідливого сайту їх браузери можуть без відома користувачів робити автоматичний запит на роутер, відправляючи шкідливий код, здатний обійти аутентифікацію роутера і змінити його налаштування. Цей вид атаки є не тільки теоретичним і періодично застосовується на практиці.

Варіанти цих атак також можуть атакувати інші локальні системи, такі як серверні сервери, контролери доменів, брандмауери і навіть локально розгорнуті додатки (через домен http://localhost або інші локально визначені домени).

Додавши специфікацію PNA до Chrome та її систему узгодження дозволів, Google має намір запобігти таким автоматизованим атакам.

Інші новини

Найкраща ціна
Pointdev Ideal Secure
Pointdev
Pointdev Ideal Secure
9 849.00 грн
Oracle Database 12c Options
Oracle
Oracle Database 12c Options
5 385.00 грн
VRScans
Chaos Group
VRScans
4 514.00 грн