Google è sempre al lavoro per rendere Chrome più sicuro. A partire da Chrome 98, l’azienda renderà molto più difficile attaccare i dispositivi di rete come il router o la stampante grazie a una nuova misura di sicurezza chiamata Private Network Access.
Come riportato per la prima volta da Ars Technica, Chrome 98 intercetterà le richieste quando i siti Web pubblici desiderano accedere agli endpoint all’interno della rete privata di un utente (come router, stampante, NAS, gadget per la casa intelligente e altro) e quindi registrerà il tentativo. Nelle versioni successive di Chrome, possibilmente non appena Chrome 101, il browser bloccherà effettivamente queste richieste fino a quando non concederai l’autorizzazione.
Nel suo piano di implementazione, Google afferma: “L’accesso alla rete privata (precedentemente noto come CORS-RFC1918) limita la capacità dei siti Web di inviare richieste a server su reti private”.
I router vengono spesso attaccati, in particolare dai worm, e rilevati dalle botnet che li utilizzano per attacchi DDoS. Ma lo sapevi che anche i siti Web hanno utilizzato i browser Web per attaccare i router? Ora, Google impedirà ai siti Web di utilizzare Chrome per eseguire nuovamente un attacco di questo tipo.
Su larga scala, ciò potrebbe impedire ai servizi principali come AWS di non funzionare e su scala ridotta potrebbe impedire agli utenti finali di sovraccaricare le loro connessioni a causa di attacchi DDoS.
Nel 2014, gli hacker hanno utilizzato una richiesta di falsificazione tra siti per modificare le impostazioni del server DNS per oltre 300.000 router wireless, cosa che è stata possibile solo a causa della natura aperta dei browser. Se questa modifica a Chrome fosse stata attiva, questo attacco non si sarebbe verificato.
Non esiste una data di lancio prestabilita perché Google deve utilizzare il periodo di prova per assicurarsi che parti significative di Internet non vengano interrotte da questa modifica. Supponendo che non ci siano interruzioni significative, ciò creerà un ulteriore livello di sicurezza in Chrome che potrebbe prevenire un’intera classe di attacchi web.
Quello che accadrà con Chrome 98 è che Chrome invierà richieste di verifica preliminare prima delle richieste di sottorisorse della rete privata (siti web che richiedono l’accesso ai dispositivi sulla tua rete privata). Eventuali errori visualizzano avvisi in DevTools, senza influire in altro modo sulle richieste. Chrome raccoglierà dati e contatterà i maggiori siti Web interessati per informarli.
Con Chrome 101 (se tutto va bene durante il test), le richieste di verifica preliminare devono avere esito positivo. In caso contrario, le richieste non andranno a buon fine.
Per la maggior parte degli utenti di Chrome, non dovrebbe cambiare molto nella navigazione web quotidiana. Tuttavia, ci sarà un’esperienza più sicura quando l’aggiornamento sarà finalmente attivo e potrebbero essere presenti alcune richieste aggiuntive per consentire o negare.
Se desideri tutti i dettagli tecnici su cosa accadrà e su come funziona, puoi leggere il post sull’accesso alla rete privata di Google. Entra in tutte le questioni tecniche, ma la maggior parte delle persone sarà felice di sapere che il browser interromperà un tipo specifico di attacco prima che inizi, e questa è una buona cosa.