Chrome, Güvenlik Nedenlerini Öne Sürerek Özel Ağlara Erişimi Sınırlayacak
Google, Chrome tarayıcısının, güvenlik nedenlerini ve kötü amaçlı yazılım operasyonlarından kaynaklanan geçmişteki kötüye kullanımları gerekçe göstererek, internet sitelerinin yerel özel ağlarda bulunan cihazlar ve sunucularla sorgulama yapmasını ve bunlarla etkileşime girmesini yakında engelleyeceğini söylüyor.
Değişiklik, yılın ilk yarısında kullanıma sunulacak olan Özel Ağ Erişimi (PNA) adlı yeni bir W3C belirtiminin uygulanmasıyla gerçekleşecek.
Yeni PNA spesifikasyonu, Chrome tarayıcısının içine, internet sitelerinin bir bağlantı kurmadan önce yerel ağlardaki sistemlerden izin isteyebileceği bir mekanizma ekler.
Chrome, hedef sunucudan açık izin isteyen bir alt kaynak için herhangi bir özel ağ isteğinden önce bir CORS ön kontrol isteği göndermeye başlar. Bu ön kontrol isteği, Access-Control-Request-Private-Network: true adlı yeni bir üstbilgi taşıyacaktır ve buna verilen yanıt, Access-Control-Allow-Private-Network: true adlı ilgili bir üstbilgi taşımalıdır.
Sunucular veya yönlendiriciler gibi yerel cihazlar yanıt vermezse, internet web sitelerinin bağlanması engellenir.
Tarayıcı, yerel ağlara yapılan saldırılar için proxy olarak kullanıldı
Yeni PNA spesifikasyonu, Chrome'a son yıllarda eklenecek en önemli güvenlik özelliklerinden biridir.
2010'ların başından beri, siber suç grupları, tarayıcıları bir şirketin dahili ağına bağlantıları ileten bir "vekil" olarak kullanabileceklerini fark ettiler.
Örneğin, kötü amaçlı bir web sitesi, çoğu yönlendirici yönetim panelinin tipik adresi olan ve yalnızca yerel bir ağdan erişilebilen 192.168.0.1 gibi bir IP adresine erişmeye çalışan kod içerebilir.
Kullanıcılar bu tür kötü amaçlı sitelere eriştiğinde, tarayıcıları kullanıcının bilgisi olmadan yönlendiricilerine otomatik bir istekte bulunabilir ve yönlendiricinin kimlik doğrulamasını atlayabilecek ve yönlendirici ayarlarını değiştirebilecek kötü amaçlı kodlar gönderebilir.
Bu tür saldırılar sadece teorik değildir ve burada ve burada ayrıntılı örneklerle daha önce gerçekleşti.
Bu internetten yerel ağ saldırılarının varyasyonları, dahili sunucular, etki alanı denetleyicileri, güvenlik duvarları ve hatta yerel olarak barındırılan uygulamalar (http://localhost etki alanı veya diğer yerel olarak tanımlanmış etki alanları aracılığıyla) gibi diğer yerel sistemleri de hedefleyebilir.
Google, Chrome içinde PNA spesifikasyonunu ve izin müzakere sistemini tanıtarak, bu tür otomatik saldırıların mümkün olmasını önlemek istiyor.
Google'a göre, PNA'nın bir sürümü Kasım 2021'de piyasaya sürülen Chrome 96 ile birlikte gönderildi, ancak tam destek bu yıl Chrome 98 (Mart başı) ve Chrome 101 (Mayıs sonu) sürümleriyle iki aşamada sunulacak. aşağıda detaylandırıldığı gibi:
Chrome 98'de:
- Chrome, ön kontrol isteklerini özel ağ alt kaynak isteklerinden önce gönderir.
- Ön kontrol hataları, özel ağ isteklerini etkilemeden yalnızca DevTools'ta uyarıları görüntüler.
- Chrome, uyumluluk verilerini toplar ve etkilenen en büyük web sitelerine ulaşır.
- Bunun mevcut web siteleriyle geniş ölçüde uyumlu olmasını bekliyoruz.
En erken Chrome 101'de:
- Bu, yalnızca uyumluluk verileri değişikliğin yeterince güvenli olduğunu gösterdiğinde ve gerektiğinde doğrudan iletişime geçtiğimizde başlayacaktır.
- Chrome, ön kontrol isteklerinin başarılı olmasını zorunlu kılar, aksi takdirde istekler başarısız olur.
- Bu aşamadan etkilenen web sitelerinin bir süre uzatması talep etmesine izin vermek için aynı anda bir kullanımdan kaldırma denemesi başlar. Duruşma en az 6 ay sürecek.
Kaynak: https://therecord.media/chrome-will-limit-access-to-private-networks-citing-security-reasons/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.