为了增强用户安全性,Google Chrome正在尝试一项开创性功能,旨在阻止恶意网站试图利用用户内部网络中的漏洞。
增强对恶意网站的保护
Google的主动性围绕着屏蔽用户免受恶意网站构成的潜在网络威胁的影响,这些网站试图在其私人网络中泄露设备和服务。这种积极的措施旨在强化防御通过用户浏览器策划的攻击的防御机制。
防止未经授权访问内部设备
所提出的功能称为“专用网络访问保护”,最初将在“仅警告”模式在Chrome 123中。它通过仔细检查公共网站(称为“站点A”)的请求来发挥作用,然后在用户的专用网络中导航到其他网站(称为“站点B”)。
战略检查和验证
这些检查需要评估请求的来源,并通过CORS-PRFLIGHT请求从公共网站上确定B的初步查询。
与针对子资源和工人的现有保障措施不同,此功能专门针对解决导航请求进行量身定制,优先确保用户的私人网络免受潜在的入侵。
根据易怒的计算机,即使Google的请求被阻止,自动重新加载也将通过。当内部=>内部连接时,您可以看到这一点。
此外,Google警告说,由于该功能更多地倾向于保护专用网络,因此专用网络访问功能将行不通。这就是为什么搜索引擎巨头计划阻止页面自动加载的原因。
稍后,您会看到错误消息将弹出。这意味着无法加载页面,因为专用网络访问不允许它。
实施和响应协议
根据提出的协议,当公共站点努力与内部设备连接时,浏览器会启动对设备的前飞行请求。随后,基于设备的响应,通过“访问控制 - 重试私有网络”标头传达,浏览器确定是否允许连接。
值得注意的是,在警告阶段,失败的检查促使DevTools控制台发出警告,在更严格的执法之前为开发人员提供了调整窗口。
升级了针对Chrome用户的安全保护
这项创新的安全升级旨在减轻来自“ SOHO Pharming”攻击和跨站点请求伪造(CSRF)漏洞的风险。
通过防御未经授权访问路由器和本地设备上的软件接口的防御措施,Google努力在不断发展的网络威胁中提高用户安全标准。
虽然直接关注的重点仍然是解决对私人网络的外部威胁,但该公司设想对公共和非公共资源的整合更广泛的影响。但是,当前的规范不包括确保本地服务的HTTPS连接,这意味着在维护用户数据和网络完整性的未来增强功能的潜在途径。
