- Google đang thử nghiệm một tính năng mới để ngăn chặn các trang web công cộng độc hại chuyển hướng trình duyệt của người dùng để tấn công các thiết bị và dịch vụ trên mạng nội bộ và mạng riêng (private).
Google có kế hoạch ngăn chặn các trang web độc hại trên internet tấn công thiết bị của người dùng (như máy in hoặc bộ định tuyến) trong nhà hoặc trên máy tính. Những thiết bị này thường được coi là an toàn vì chúng không được kết nối trực tiếp với Internet và được bảo vệ bởi bộ định tuyến.
Tính năng "Bảo vệ quyền truy cập mạng riêng" (Private Network Access protections), sẽ ở chế độ "chỉ cảnh báo" (warning-only) trong Chrome 123, tiến hành kiểm tra trước khi một trang web công cộng (gọi là "trang A") chuyển hướng trình duyệt truy cập đến một trang web khác (gọi là là "trang B") trong mạng riêng của người dùng.
Việc kiểm tra bao gồm xác minh xem yêu cầu (request) có đến từ một ngữ cảnh an toàn hay không và gửi yêu cầu sơ bộ để xem liệu trang B (ví dụ: máy chủ HTTP chạy trên địa chỉ loopback hoặc bảng điều khiển web của bộ định tuyến) có cho phép truy cập từ một trang web công cộng thông qua các yêu cầu cụ thể (được gọi là CORS-preflight request) hay không.
 |
Không giống như các biện pháp bảo vệ hiện có dành cho các tài nguyên phụ (subresource) và các worker, tính năng này tập trung cụ thể vào các yêu cầu điều hướng. Mục đích chính của nó là bảo vệ mạng riêng của người dùng khỏi các mối đe dọa tiềm ẩn.
Trong một ví dụ do Google cung cấp, các nhà phát triển minh họa iframe HTML trên một trang web công cộng thực hiện cuộc tấn công CSRF làm thay đổi cấu hình DNS của bộ định tuyến của người dùng trên mạng cục bộ của họ.
Với tính năng mới này, khi trình duyệt phát hiện một trang web công cộng cố gắng kết nối với thiết bị nội bộ, trước tiên trình duyệt sẽ gửi một yêu cầu preflight tới thiết bị.
Nếu không có phản hồi, kết nối sẽ bị chặn. Tuy nhiên, nếu thiết bị bên trong phản hồi, nó có thể cho trình duyệt biết liệu yêu cầu có được phép sử dụng header 'Access-Control-Request-Private-Network' hay không.
Điều này cho phép tự động chặn các yêu cầu tới các thiết bị trên mạng nội bộ trừ khi thiết bị đó cho phép kết nối rõ ràng từ các trang web công cộng.
Khi đang ở giai đoạn cảnh báo, tính năng này sẽ không chặn các yêu cầu. Thay vào đó, các nhà phát triển sẽ thấy cảnh báo trong bảng điều khiển DevTools, giúp họ có thời gian điều chỉnh trước khi tính năng bắt đầu được triển khai bắt buộc.
Tuy nhiên, Google lưu ý rằng ngay cả khi một yêu cầu bị chặn, việc trình duyệt tự động tải lại sẽ cho phép yêu cầu được thông qua, vì nó sẽ được coi là một kết nối từ nội bộ đến nội bộ.
Google cảnh báo rằng: “Các biện pháp bảo vệ quyền truy cập mạng riêng sẽ không áp dụng trong trường hợp này vì tính năng này được thiết kế để bảo vệ mạng riêng của người dùng khỏi các trang web công cộng”.
Để ngăn chặn điều này, Google đề xuất chặn việc tự động tải lại một trang nếu tính năng Truy cập mạng riêng đã chặn trang đó trước đó.
Một khi điều này xảy ra, trình duyệt web sẽ hiển thị thông báo lỗi cho biết bạn có thể cho phép thực hiện yêu cầu bằng cách tải lại trang theo cách thủ công, như hiển thị bên dưới.
 |
| Google chặn yêu cầu tải lại trang web (Google) |
Trang này sẽ bao gồm thông báo lỗi mới của Google Chrome, "BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS," để cho bạn biết khi một trang không thể tải vì trang đó không vượt qua được các bước kiểm tra bảo mật truy cập mạng riêng.
PV
