Importante decisione in tema di sicurezza per Google, più in particolare per il suo browser Google Chrome, il più utilizzato al mondo.
Infatti, Google Chrome ha annunciato l’intenzione di vietare ai siti Web pubblici di accedere direttamente agli endpoint situati all’interno di reti private come parte di un imminente importante cambiamento di sicurezza per prevenire le intrusioni tramite il browser.
La modifica proposta sarà implementata in due fasi costituite dalle versioni di Chrome 98 e Chrome 101 previste nei prossimi mesi tramite una specifica W3C di nuova implementazione denominata Private Network Access (PNA).
Questa la nota del browser nativo di Big G:
Chrome inizierà a inviare una richiesta di preflight CORS prima di qualsiasi richiesta di rete privata per una sottorisorsa, che richiede un’autorizzazione esplicita dal server di destinazione”, hanno affermato Titouan Rigoudy ed Eiji Kitamura. “Questa richiesta di verifica preliminare conterrà una nuova intestazione, Access-Control-Request-Private-Network: true, e la risposta ad essa deve contenere un’intestazione corrispondente, Access-Control-Allow-Private-Network: true.
Google Chrome: cosa cambia
Ciò significa che a partire dalla versione 101 di Chrome, qualsiasi sito Web accessibile tramite Internet dovrà richiedere l’autorizzazione esplicita al browser prima di poter accedere alle risorse di rete interne.
In altre parole, la nuova specifica PNA aggiunge una disposizione all’interno del browser attraverso la quale i siti Web possono richiedere ai server gated dietro le reti locali di ottenere una connessione.
“La specifica estende anche il protocollo CORS (Cross-Origin Resource Sharing) in modo che i siti Web ora debbano richiedere esplicitamente una concessione dai server su reti private prima di poter inviare richieste arbitrarie“, ha osservato Rigoudy nell’agosto 2021. Quando Google ha annunciato per la prima volta i piani deprecare l’accesso agli endpoint di rete privati da siti Web non protetti.
L’obiettivo, hanno affermato i ricercatori, è quello di salvaguardare gli utenti dagli attacchi di falsificazione delle richieste tra siti (CSRF) che prendono di mira router e altri dispositivi su reti private, che consentono ai malintenzionati di reindirizzare gli utenti ignari a domini dannosi.
Altre decisioni simili
Il browser Edge basato su Chromium di Microsoft ha aggiunto una nuova modalità di navigazione al canale Beta (versione 98.0.1108.23) che mira a portare un ulteriore livello di sicurezza per mitigare il futuro sfruttamento in natura di vulnerabilità zero-day sconosciute.
“Questa funzionalità è un enorme passo avanti perché ci consente di mitigare gli zero giorni attivi imprevisti (basati sulle tendenze storiche)“, ha affermato Microsoft. Che poi ha proseguito:
“Quando attivata, questa funzione offre protezione dello stack applicata dall’hardware, protezione del codice arbitrario (ACG) e protezione del flusso dei contenuti (CFG) come supporto per le mitigazioni della sicurezza per aumentare la sicurezza degli utenti sul Web”.
Restando in tema sicurezza, se sei alla ricerca di un buon servizio, ti suggeriamol’antivirus di AVG.
Ti potrebbe interessare
20 gen 2022