Google ha avviato i test per una nuova funzionalità di Chrome che impedirà ai siti di accedere alla rete locale dell’utente attraverso il browser e quindi infettare i dispositivi collegati. L’azienda di Mountain View intende offrire la protezione a partire da Chrome 123 per desktop e Android (attualmente è disponibile la versione 121).
Blocco delle richieste alle reti private
Google vuole impedire ai siti infetti di utilizzare la posizione di rete dello user agent per attaccare dispositivi e servizi che dovrebbero essere irraggiungibili da Internet, in quanto risiedono sull’intranet locale o sul computer dell’utente.
La funzionalità, denominata “Private Network Access for Navigation Requests“, prevede una verifica prima che un sito pubblico (A) possa usare Chrome per accedere ad un sito privato (B) nella rete dell’utente.
Il browser controllerà se la richiesta proviene da un contesto sicuro. Il sito B (ad esempio un server HTTP locale o l’interfaccia web del router) che permette l’accesso dovrà rispondere con un header specifico. L’obiettivo di Google è schermare la rete privata dalle potenziali minacce che arrivano da Internet.
Quando rileva che un sito pubblico tenta di accedere ad un dispositivo locale, Chrome invierà una richiesta CORS-preflight. Se non c’è nessuna risposta dal dispositivo, la connessione verrà bloccata. In caso contrario, il dispositivo può consentire l’accesso tramite un header Access-Control-Request-Private-Network.
Google propone inoltre di evitare il ricaricamento automatico della pagina. L’utente vedrà una schermata di errore che indica il blocco della connessione, ma premendo il pulsante “Reload” verrà consentita la connessione alla rete privata da Internet. Chrome 123 dovrebbe essere rilasciato il 19 marzo.