En un esfuerzo por fortalecer la seguridad en línea, Google se encuentra en la fase de prueba de una innovadora función destinada a prevenir ataques provenientes de sitios web maliciosos hacia dispositivos y servicios en redes privadas e internas a través del navegador del usuario.
Contrariamente a la percepción común de que los dispositivos conectados indirectamente a Internet, como impresoras o enrutadores, están inherentemente seguros gracias a la protección de un router, Google está desarrollando la función «Protecciones de acceso a la red privada«. Esta característica, que entrará en modo «solo advertencia» en Chrome 123, realiza verificaciones exhaustivas antes de que un sitio web público (designado como «sitio A») instruya al navegador a visitar otro sitio (denominado «sitio B») dentro de la red privada del usuario.
«Para evitar que los sitios web maliciosos giren a través de la posición de red del agente de usuario para atacar dispositivos y servicios que razonablemente asumieron que eran inaccesibles desde Internet en general, en virtud de residir en la intranet local del usuario o en la máquina del usuario», Google describió la idea en un documento de soporte.
Las verificaciones implican la confirmación de si la solicitud proviene de un contexto seguro y el envío de una solicitud preliminar para evaluar si el sitio B (por ejemplo, el servidor HTTP en la dirección de bucle invertido o el panel web del enrutador) permite el acceso desde un sitio web público a través de solicitudes específicas denominadas «solicitudes de verificación previa de CORS».
A diferencia de las medidas de protección existentes para subrecursos y trabajadores, esta función se concentra exclusivamente en las solicitudes de navegación, priorizando la seguridad de las redes privadas de los usuarios frente a posibles amenazas.
Bloquear solicitudes no seguras a redes internas
De acuerdo con esta nueva propuesta, cuando el navegador detecta un intento de conexión desde un sitio público hacia un dispositivo interno, se enviará inicialmente una solicitud de verificación previa al dispositivo en cuestión.
Si no se recibe respuesta, la conexión se bloqueará automáticamente. En caso contrario, si el dispositivo interno responde, podrá indicar al navegador si se debe permitir la solicitud mediante un encabezado denominado ‘Access-Control-Request-Private-Network’.
No obstante, Google advierte sobre la posibilidad de que, incluso si se bloquea una solicitud, una recarga automática por parte del navegador permita que la solicitud se lleve a cabo, ya que podría interpretarse como una conexión interna a interna.
«Las protecciones de acceso a la red privada no se aplicarán en este caso, ya que la función fue diseñada para proteger la red privada de los usuarios de páginas web más públicas», advierte Google .
Para abordar este riesgo, Google propone la restricción de la recarga automática de la página si la función de Acceso a la Red Privada la bloqueó anteriormente. En caso de que esto ocurra, el navegador mostrará un mensaje de error específico de Google Chrome, denominado «BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS», informando al usuario que la página no puede cargarse debido a fallos en las verificaciones de seguridad del Acceso a la Red Privada.
Canales
Tu apoyo me permitirá seguir con este proyecto. Gracias 🙏
Descubre más desde 👨💻 hiberhernandez
Suscríbete y recibe las últimas entradas en tu correo electrónico.