O Google está trabalhando em um novo recurso para proteger os dispositivos e serviços dos usuários em redes domésticas contra sites maliciosos. Esse “Proteções de acesso à rede privada”O recurso estará disponível em“modo de aviso”No Chrome 123.
Então, como o novo recurso funcionará? Vamos dar uma olhada mais de perto no novo recurso.
Como funciona o novo recurso de proteção de acesso à rede privada do Google?
As proteções de acesso à rede privada entram em ação quando um site tenta acessar um dispositivo na rede privada do usuário. Antes deste processo, o navegador realiza uma série de verificações:
- Contexto seguro: verifica se a solicitação vem de uma fonte segura.
- Permissão: verifica se o dispositivo permite conexões do site. Para fazer isso, o navegador envia solicitações especiais chamadas solicitações de comprovação CORS.
O Google está trabalhando em um novo recurso para proteger os dispositivos e serviços dos usuários em redes domésticas contra sites maliciosos
Se alguma dessas verificações falhar, o navegador bloqueará a conexão. Desta forma, as redes domésticas dos utilizadores ficam protegidas de potenciais ameaças.
Aqui está um exemplo:
Digamos que haja um iframe HTML em um site que tenta alterar as configurações de DNS dos usuários. Este iframe pode tentar acessar o roteador do usuário e alterar suas configurações usando o navegador.
O navegador bloqueará esta solicitação se as proteções de acesso à rede privada estiverem habilitadas. O navegador primeiro enviará uma solicitação de comprovação ao roteador, e o roteador indicará que não permite essa solicitação. Portanto, o navegador bloqueará a solicitação de alteração das configurações de DNS e o roteador do usuário ficará protegido.
Modo de aviso
As proteções de acesso à rede privada estão atualmente disponíveis em “modo de aviso” no Chrome 123. Nesse modo, em vez de bloquear conexões, o navegador mostra um aviso aos desenvolvedores no console do DevTools. Dessa forma, os desenvolvedores podem fazer os ajustes necessários para atender a esse recurso.
Recarga automática
Se um site for bloqueado, a conexão ainda poderá ser estabelecida se o navegador for recarregado automaticamente. Para evitar isso, Google também planeja para bloquear recargas automáticas de páginas que o Recurso de acesso à rede privada bloqueou.
Mensagem de erro
Se uma página não passar nas verificações de segurança do Private Network Access, o navegador mostrará uma nova mensagem de erro chamada: “BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS.” Esta mensagem ajudará os usuários a entender por que a página não pode ser carregada.
A principal motivação por trás deste desenvolvimento é evitar que sites maliciosos na Internet explorem vulnerabilidades em dispositivos e servidores nas redes internas dos usuários. O objetivo é proteger dispositivos e serviços nessas redes, que antes eram considerados seguros contra ameaças baseadas na Internet, e impedir o acesso não autorizado. Com o uso crescente de interfaces web em aplicações, a segurança da rede torna-se ainda mais crucial quando a proteção é considerada inexistente.
De acordo com um Documento de suporte do Google, o trabalho nessa ideia começou em 2021. O objetivo é evitar que sites externos enviem solicitações maliciosas para recursos dentro da rede privada (localhost ou endereço IP privado). O foco atual está na mitigação de riscos associados a vulnerabilidades como “Farmácia SOHO”ataques e CSRF (falsificação de solicitação entre sites). No entanto, esta fase não inclui a adição de conexões HTTPS seguras para serviços locais, embora seja considerada uma etapa necessária para a integração segura de recursos internos e externos.
Crédito da imagem em destaque: Rubaitul Azad / Unsplash
Source: O novo recurso do Google Chrome protegerá suas redes domésticas contra ataques
