Il browser Chrome ora impedirà ai siti Web di eseguire query e interagire con dispositivi e server nelle reti private locali per motivi di sicurezza e per via di exploit passati da parte di operazioni malware.
Questa modifica verrà apportata attraverso l’implementazione di una nuova specifica W3C denominata Private Network Access (PNA), che sarà lanciata nella prima metà di quest’anno.
Private Network Access (precedentemente noto come CORS-RFC1918) limita la capacità di un sito Web di inviare richieste ai server su una rete privata. Ciò aggiunge un meccanismo all’interno del browser Chrome che consente ai siti Internet di chiedere l’autorizzazione ai sistemi nella rete locale prima di stabilire una connessione
I browser vengono utilizzati come proxy per attaccare la rete locale
Questa specifica PNA è una delle funzionalità di sicurezza più importanti da aggiungere a Chrome negli ultimi anni.
Dall’inizio degli anni 2010, i gruppi di criminalità informatica si sono resi conto che i browser possono essere utilizzati come “proxy” per inoltrare connessioni alle reti aziendali.
Ad esempio, un sito Web dannoso può contenere codice che tenta di accedere a un indirizzo IP come 192.168.0.1. Questo indirizzo è un tipico indirizzo IP di gestione per dispositivi router sulla rete locale ed è un indirizzo accessibile solo dalla rete locale.
Quando un utente accede a un sito dannoso di questo tipo, il browser può effettuare una richiesta automatica al router all’insaputa dell’utente e inviare codice dannoso che ignora l’autenticazione del router e modifica la configurazione del router.
Questo tipo di attacco non è solo una teoria, è già stato fatto e ne sono stati descritti in dettaglio gli esempi.
Google afferma che una versione del PNA è già in bundle con Chrome 96, rilasciata a novembre 2021, ma il supporto completo verrà implementato quest’anno in due fasi, Chrome 98 (inizio marzo) e Chrome 101 (fine maggio), come segue.
Come funziona in Chrome 98
Chrome invia una richiesta di verifica preliminare prima di una richiesta di sottorisorsa di rete privata. Se il preflight non riesce, vedrai solo un avviso in DevTools e non influirà sulle tue richieste di rete privata.
Chrome raccoglierà i dati sulla compatibilità e contatterà i siti Web più colpiti. Ci si aspetta che sia ampiamente compatibile con i siti Web esistenti. Verrà implementato al più presto in Chrome 101
Questo verrà avviato solo se i dati di compatibilità indicano che la modifica è sufficientemente sicura e con una portata diretta, se necessario. Chrome richiede che le richieste di verifica preliminare abbiano esito positivo, altrimenti forza la richiesta verso il fallimento.
