Google Chrome ha anunciado sus planes para prohibir que los sitios web públicos accedan directamente a los puntos finales situados en redes privadas, como parte de una próxima e importante reorganización de la seguridad para evitar intrusiones a través del navegador.
El cambio propuesto se aplicará en dos fases como parte de los lanzamientos de Chrome 98 y Chrome 101, previstos para los próximos meses, a través de una especificación del W3C recientemente implementada, denominada acceso a redes privadas (PNA).
"Chrome empezará a enviar una solicitud de comprobación previa de CORS antes de cualquier solicitud de red privada para un subrecurso, que pide permiso explícito al servidor de destino", dijeron Titouan Rigoudy y Eiji Kitamura. "Esta solicitud de verificación previa llevará un nuevo encabezado, Access-Control-Request-Private-Network: true, y la respuesta a la misma debe llevar un encabezado correspondiente, Access-Control-Allow-Private-Network: true".
Esto significa que, a partir de la versión 101 de Chrome, cualquier sitio web al que se pueda acceder a través de Internet deberá pedir permiso explícito al navegador antes de poder acceder a los recursos de la red interna. En otras palabras, la nueva especificación PNA añade una disposición dentro del navegador a través de la cual los sitios web pueden solicitar servidores cerrados detrás de las redes locales para obtener una conexión.
"La especificación también amplía el protocolo Cross-Origin Resource Sharing (CORS) para que los sitios web tengan ahora que solicitar explícitamente una concesión a los servidores de las redes privadas antes de que se les permita enviar solicitudes arbitrarias", señaló Rigoudy en agosto de 2021, cuando anunció por primera vez los planes para eliminar el acceso a los puntos finales de las redes privadas de los sitios web no seguros.
El objetivo, según los investigadores, es proteger a los usuarios de los ataques de falsificación de solicitudes en sitios cruzados (CSRF) dirigidos a routers y otros dispositivos en redes privadas, que permiten a los malos actores redirigir a los usuarios desprevenidos a dominios maliciosos.
Fuente: https://thehackernews.com/2022/01/chrome-limits-websites-access-to.html