Google está trabajando en una nueva función para proteger los dispositivos y servicios de los usuarios en las redes domésticas de sitios web maliciosos. Este “Protecciones de acceso a redes privadasLa función “estará disponible en”modo de advertencia”en Chrome 123.
Entonces, ¿cómo funcionará la nueva característica? Vayamos y echemos un vistazo más de cerca a la nueva característica.
¿Cómo funciona la nueva función Protección de acceso a redes privadas de Google?
Las protecciones de acceso a la red privada se activan cuando un sitio web intenta acceder a un dispositivo en la red privada del usuario. Antes de este proceso, el navegador realiza una serie de comprobaciones:
- Contexto seguro: Comprueba si la solicitud proviene de una fuente segura.
- Permiso: Comprueba si el dispositivo permite conexiones desde el sitio web. Para hacer esto, el navegador envía solicitudes especiales llamadas solicitudes de verificación previa CORS.
Google está trabajando en una nueva función para proteger los dispositivos y servicios de los usuarios en las redes domésticas de sitios web maliciosos
Si alguna de estas comprobaciones falla, el navegador bloquea la conexión. De esta forma, las redes domésticas de los usuarios quedan protegidas de posibles amenazas.
Aquí hay un ejemplo:
Digamos que hay un iframe HTML en un sitio web que intenta cambiar la configuración de DNS de los usuarios. Este iframe puede intentar acceder al enrutador del usuario y cambiar su configuración utilizando el navegador.
El navegador bloqueará esta solicitud si la Protección de acceso a la red privada está habilitada. El navegador primero enviará una solicitud de verificación previa al enrutador y el enrutador indicará que no permite esta solicitud. Por lo tanto, el navegador bloqueará la solicitud para cambiar la configuración de DNS y el enrutador del usuario estará protegido.
Modo de advertencia
La protección de acceso a la red privada está actualmente disponible en “modo de advertencia” en Chrome 123. En este modo, en lugar de bloquear las conexiones, el navegador muestra una advertencia a los desarrolladores en la consola de DevTools. De esta manera, los desarrolladores pueden realizar los ajustes necesarios para cumplir con esta característica.
Recarga automática
Si un sitio web está bloqueado, la conexión aún se puede establecer si el navegador se recarga automáticamente. Para evitar esto, Google también planea bloquear las recargas automáticas de páginas que el Función de acceso a red privada ha bloqueado.
Mensaje de error
Si una página no puede pasar las comprobaciones de seguridad de acceso a la red privada, el navegador mostrará un nuevo mensaje de error llamado: “BLOQUEADO_POR_PRIVATE_NETWORK_ACCESS_CHECKS.” Este mensaje ayudará a los usuarios a comprender por qué no se puede cargar la página.
La motivación principal detrás de este desarrollo es evitar que los sitios web maliciosos en Internet exploten las vulnerabilidades en los dispositivos y servidores de las redes internas de los usuarios. Su objetivo es proteger los dispositivos y servicios en estas redes, que antes se consideraban seguros frente a amenazas basadas en Internet, y evitar el acceso no autorizado. Con el uso cada vez mayor de interfaces web en las aplicaciones, la seguridad de la red se vuelve aún más crucial cuando se supone que la protección es inexistente.
Según un documento de soporte de Google, el trabajo en esta idea comenzó en 2021. El objetivo es evitar que sitios web externos envíen solicitudes maliciosas a recursos dentro de la red privada (localhost o una dirección IP privada). El enfoque actual está en mitigar los riesgos asociados con vulnerabilidades como “SOHO Farming”ataques y CSRF (falsificación de solicitudes entre sitios). Sin embargo, esta fase no incluye agregar conexiones HTTPS seguras para servicios locales, aunque se considera un paso necesario para integrar de forma segura recursos internos y externos.
Crédito de la imagen destacada: Rubaitul Azad / Unsplash
Source: La nueva función de Google Chrome protegerá tus redes domésticas de ataques
