Gli sviluppatori di Mountain View hanno implementato una nuova funzionalità dedicata alla sicurezza nel browser Web Google Chrome. Quest’ultima, che dovrebbe essere disponibile con la versione 123 dell’applicazione, bloccherà i siti Web che cercano di accedere ad una LAN (Local Area Network) e di infettare tutti i device che ne fanno parte.
Tale novità prende il nome di PNANR (Private Network Access for Navigation Requests). In sostanza essa ha il compito di verificare che un sito online infetto non possa sfruttare Chrome per accedere ad un sito privato presente in un rete locale, e quindi in teoria non raggiungibile da remoto, tramite la posizione dello user agent.
This new Google Chrome feature will block attacks on home networks. It is called Private network access checks for navigation requests and deals with CORS-preflight requests https://t.co/C7LTdyOfbt
— Winaero (@winaero) February 19, 2024
Nel caso specifico, un sito Web privato residente nella LAN potrebbe essere l’interfaccia visuale per la configurazione del router o l’Home Page del Web server che la gestisce. Il controllo avverrà sulla base del contesto dal quale viene formulata una richiesta, se gli header non dovessero essere quelli previsti il sistema provvederà al blocco.
La verifica degli header da parte di Chrome avviene tramite l’invio di una richiesta HTTP di tipo CORS-preflight, dove l’acronico "CORS" sta per Cross-Origin Resource Sharing, se non viene restituita alcuna risposta la connessione con la risorsa esterna non può avere luogo e il browser invita l’utente a non effettuare il reload della pagina che si tenta di caricare.
Al contrario, quindi se la pagina esterna dovesse inviare la risposta prevista, se ne autorizzerà l’accesso tramite l’header Access-Control-Request-Private-Network, con il quale si indica che essa può essere condivisa in modo sicuro con un network esterno. In sostanza l’header certifica che la richiesta è stata formulata da un network privato.
