Google тестирует новую функцию, предотвращающую атаки с помощью вредоносных общедоступных веб-сайтов через браузер пользователей в частных сетях.
Она позволит защитить принтеры, маршрутизаторы и иные устройства, не подключённые к Интернету напрямую.Функция «Защита доступа к частной сети» заработает в браузере Google Chrome 123 в режиме «только предупреждение».
Она будет сканировать общедоступные сайты и перенаправления с них. Так, функция проверит, разрешает ли ресурс перенаправления доступ с общедоступного веб-сайта через определённые запросы, называемые CORS-preflight запросами.В примере Google разработчики демонстрируют HTML-iframe на общедоступном веб-сайте, который выполняет CSRF-атаку, изменяющую конфигурацию DNS маршрутизатора посетителя в его локальной сети.Теперь же, когда браузер обнаруживает, что общедоступный сайт пытается подключиться к внутреннему устройству, при отправке такого предварительного запроса соединение будет заблокировано.
Читать на habr.com