出於安全考量Chrome即將限制私有網絡訪問
出於安全方面的考量以及過去被惡意軟件濫用的情況,Google 表示Chrome 瀏覽器近期將阻止互聯網網站和本地私人網絡內的設備/服務器之間的查詢和互動。這一變化將通過實施新的W3C 規範來實現,該規範被稱為私人網絡訪問(PNA),將在今年上半年推出。
新的PNA 規範在Chrome 瀏覽器內增加了一個機制,通過該機制,互聯網網站可以在建立連接前向本地網絡內的系統徵求許可。Google 表示:
Chrome 瀏覽器將在任何子資源的私人網絡請求之前開始發送CORS 預檢請求,該請求要求目標服務器給予明確許可。
這個預檢請求將攜帶一個新的頭,即Access-Control-Request-Private-Network: true,而對它的響應必須攜帶一個相應的頭,即Access-Control-Allow-Private-Network: true。
如果本地設備,如服務器或路由器未能響應,互聯網網站將被阻止連接。新的PNA 規範是近年來將被添加到Chrome 瀏覽器中的最重要的安全功能之一。自2010 年代初以來,網絡犯罪團伙已經意識到,他們可以利用瀏覽器作為“代理”,轉發連接到公司的內部網絡。
例如,一個惡意網站可能包含試圖訪問192.168.0.1這樣一個IP地址的代碼,這是大多數路由器管理面板的典型地址,只能從本地網絡訪問。當用戶訪問這種惡意網站時,他們的瀏覽器可以在用戶不知情的情況下向他們的路由器發出自動請求,發送惡意代碼,繞過路由器的認證,修改路由器設置。
這種攻擊此前確實發生過。這種互聯網到本地網絡的攻擊的變種也可以針對其他本地系統,如內部服務器、域控制器、防火牆,甚至本地託管的應用程序(通過http://localhost 域或其他本地定義的域)。通過在Chrome瀏覽器內部引入PNA規範及其權限協商系統,Google希望防止這種自動攻擊成為可能。
據Google稱,PNA 的一個版本已經與2021 年11 月發布的Chrome 96 一起上線,但全面支持將在今年分兩個階段推出,分別是Chrome 98(3月初)和Chrome 101(5月底)的發布,詳情如下。
在Chrome 98 中。
● Chrome會在私有網絡子資源請求之前發送預檢請求。
● 預檢失敗只在DevTools中顯示警告,不影響私人網絡請求。
● Chrome收集兼容性數據,並向受影響最大的網站伸出援手。
● Google 預計這將與現有網站廣泛兼容。
最早在Chrome 101 中全面部署
● 只有當兼容性數據表明該變化足夠安全,並且我們在必要時直接進行了外聯時,這才會開始。
● Chrome瀏覽器強制要求預檢請求必須成功,否則會導致請求失敗。
● 廢棄試驗也同時開始,以允許受此階段影響的網站請求延長時間。該試驗將持續至少6個月。