Компания Google разрабатывает новую функцию, направленную на защиту устройств и сервисов в частных сетях от атак вредоносных сайтов в Интернете. Это новшество поможет предотвратить возможность атак на такие устройства, как принтеры или роутеры, которые находятся в домах пользователей. Хотя эти устройства и не подключены напрямую к сети Интернет, они обычно считаются защищенными, поскольку находятся за маршрутизатором.
Основная задача новой функции , получившей название “Защита частных сетевых доступов”, состоит в том, чтобы проводить проверки перед тем, как публичный сайт перенаправит браузер пользователя на другой сайт внутри его частной сети. Эти проверки включают в себя верификацию безопасности исходного запроса и отправку предварительного запроса для проверки, разрешен ли доступ к целевому сайту (например, к HTTP-серверу, работающему на локальном адресе или к веб-панели роутера) с публичного сайта через специфические запросы, называемые CORS-preflight.
В качестве примера Google приводит случай, когда вредоносный сайт пытается изменить DNS-конфигурацию роутера пользователя через атаку CSRF, используя HTML iframe.