مطالب مرتبط
برچسب ها
- ارسال پیامک بکاپ گیری
- چگونه از دیتابیس بکاپ بگیریم
- پشتیبان گیری
- نرم افزار پشتیبان گیری
- بهترین نرم افزار پشتیبان گیری
- آسان ترین روش بکاپ گیری
- آسان ترین روش تهیه بکاپ
- ارزیابی بکاپ
- بکاپ گیری روی شبکه
- بکاپ گیری روی NAS
- راهکار بکاپ برای نرم افزار حسابداری
- ذخیره سازی بکاپ روی ایمیل
- روش بکاپ گیری از اطلاعات سرور
نمایش جزئیات
آپدیتهای جدید گوگل کروم برای جلوگیری از حملات به شبکه های خانگی
ویژگی جدید گوگل کروم، حملات علیه شبکه های خانگی را مسدود می کند
گوگل در حال آزمایش یک ویژگی جدید برای جلوگیری از چرخش وب سایت های عمومی مخرب از طریق مرورگر کاربر برای حمله به دستگاه ها و خدمات در شبکه های داخلی و خصوصی است.
به عبارت ساده تر، گوگل قصد دارد از حمله وب سایت های بد موجود در اینترنت به دستگاه های بازدیدکننده (مانند چاپگرها یا روترها) در خانه یا رایانه شما جلوگیری کند. مردم معمولاً این دستگاه ها را ایمن می دانند زیرا مستقیماً به اینترنت متصل نیستند و توسط روتر محافظت می شوند.
گوگل این ایده را در یک سند پشتیبانی توضیح داد.: «برای جلوگیری از چرخش وبسایتهای مخرب از طریق موقعیت شبکه عامل کاربر برای حمله به دستگاهها و سرویسهایی که به طور منطقی فرض میکردند از طریق اینترنت در کل غیرقابل دسترسی هستند، به دلیل قرار گرفتن در اینترانت محلی کاربر یا دستگاه کاربر».
درخواست های نا امن را به شبکه های داخلی مسدود کنید
ویژگی پیشنهادی «حفاظتهای دسترسی به شبکه خصوصی»، که در حالت «فقط هشدار» در Chrome 123 خواهد بود، قبل از اینکه یک وبسایت عمومی (به عنوان سایت A نامیده میشود) به مرورگر دستور دهد تا از سایت دیگری بازدید کند، بررسی میکند. به عنوان "سایت" B در شبکه خصوصی کاربر.
این بررسیها شامل تأیید اینکه آیا درخواست از یک زمینه امن میآید و ارسال یک درخواست اولیه برای دیدن اینکه آیا سایت B به عنوان مثال سرور HTTP در حال اجرا بر روی آدرس حلقهای یا پانل وب روتر، اجازه دسترسی از یک وبسایت عمومی را از طریق درخواستهای خاصی به نام درخواستهای CORS-preflight میدهد یا خیر.
برخلاف حفاظت های موجود برای منابع فرعی، این ویژگی به طور خاص بر روی درخواست های ناوبری تمرکز می کند. هدف اصلی آن محافظت از شبکه های خصوصی کاربران در برابر تهدیدات احتمالی است.
در مثال ارائه شده توسط Google ، توسعه دهندگان یک iframe HTML را در یک وب سایت عمومی نشان می دهند که یک حمله CSRF را انجام می دهد که پیکربندی DNS روتر بازدیدکننده را در شبکه محلی آنها تغییر می دهد.
<iframe href="https://admin:admin@router.local/set_dns?server1=123.123.123.123">
</iframe>
بر اساس این پیشنهاد جدید، زمانی که مرورگر تشخیص میدهد که یک سایت عمومی تلاش میکند به یک دستگاه داخلی متصل شود، مرورگر ابتدا یک درخواست پیش از پرواز به دستگاه ارسال میکند.
در صورت عدم پاسخگویی، اتصال مسدود خواهد شد. با این حال، اگر دستگاه داخلی پاسخ دهد، میتواند به مرورگر بگوید که آیا درخواست باید با استفاده از هدر « دسترسی-کنترل-درخواست-شبکه خصوصی » مجاز باشد یا خیر.
این اجازه می دهد تا درخواست های دستگاه های موجود در یک شبکه داخلی به طور خودکار مسدود شوند، مگر اینکه دستگاه به صراحت اجازه اتصال از وب سایت های عمومی را بدهد.
در مرحله هشدار، حتی اگر بررسی ها با شکست مواجه شوند، این ویژگی درخواست ها را مسدود نمی کند. در عوض، توسعهدهندگان هشداری را در کنسول DevTools مشاهده میکنند که به آنها زمان میدهد تا قبل از شروع اجرای سختگیرانهتر، خود را تنظیم کنند.
با این حال، گوگل هشدار می دهد که حتی اگر یک درخواست مسدود شود، بارگیری مجدد خودکار توسط مرورگر به درخواست اجازه می دهد تا از طریق آن عبور کند، زیرا به عنوان یک اتصال داخلی => داخلی دیده می شود.
Google هشدار میدهد : «حفاظتهای دسترسی به شبکه خصوصی در این مورد اعمال نمیشوند، زیرا این ویژگی برای محافظت از شبکه خصوصی کاربران در برابر صفحات وب عمومیتر طراحی شده است» .
برای جلوگیری از این امر، Google پیشنهاد میکند در صورتی که ویژگی دسترسی به شبکه خصوصی قبلاً آن را مسدود کرده بود، بارگذاری مجدد خودکار صفحه را مسدود کند.
هنگامی که این اتفاق می افتد، مرورگر وب پیغام خطایی را نشان می دهد که می گوید می توانید با بارگیری مجدد دستی صفحه، مانند تصویر زیر، اجازه دهید درخواست انجام شود.
این صفحه شامل یک پیام خطای جدید Google Chrome است تا به شما بگوید چه زمانی صفحه نمی تواند بارگیری شود زیرا بررسی های امنیتی دسترسی به شبکه خصوصی را رد نکرده است:
"BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS"
ایده پشت ارتقای امنیت
انگیزه پشت این توسعه، جلوگیری از سوء استفاده وبسایتهای مخرب در اینترنت از نقصهای دستگاهها و سرورهای شبکههای داخلی کاربران است که به نظر میرسد از تهدیدات مبتنی بر اینترنت در امان هستند.
این شامل محافظت در برابر دسترسی غیرمجاز به روترهای کاربران و رابطهای نرمافزاری است که بر روی دستگاههای محلی اجرا میشوند - نگرانی فزایندهای چون برنامههای کاربردی بیشتر رابطهای وب را با فرض عدم وجود حفاظتی مستقر میکنند.
بر اساس یک سند پشتیبانی ، گوگل در سال 2021 شروع به بررسی این ایده کرد تا از درخواستهای مضر وبسایتهای خارجی برای منابع درون شبکه خصوصی (لوکال هاست یا آدرس IP خصوصی) جلوگیری کند.
در حالی که هدف فوری کاهش خطراتی مانند حملاتSOHO Pharming و آسیبپذیریهای CSRF (جعل درخواست متقابل سایت) است، هدف این مشخصات، ایمن کردن اتصالات HTTPS برای سرویسهای محلی نیست - گامی ضروری برای ادغام منابع عمومی و غیر عمومی به طور ایمن اما فراتر از محدوده فعلی مشخصات است.
منبع: سایت 
