【源頭減毒】Google測試Chrome新功能 雙重驗證杜絕網站連線內部設備
Google 正在測試 Chrome 一項新安全功能,以防止黑客透過引誘網民或企業員工到訪惡意網站,通過瀏覽器攻擊對方內部網絡上的設備例如打印機或路由器。官方指,新功能會在網站與相關設備或服務連接前,進行快速雙重檢查,杜絕惡意連接。
從網絡安全的角度看,主要用於搜尋網絡資訊的瀏覽器是非常重要的閘道,而且由於瀏覽器默許外部網絡訪問內部網絡及 localhost,因此黑客有機會透過它來入侵內部網絡,最常見的攻擊包括誘使網民訪問隱藏惡意編碼的網站,執行 CSRF 跨網注入攻擊,改變本地網絡的路由器設置,讓黑客可隨便進入內部網絡,盜取資訊或執行惡意功能。
Google 新推出的 Private Network Access protections 功能,便是為了減少這種攻擊而設,從官方公布的資料可見,新增的功能會檢查外部驗證請求是否來自安全環境,同時通過向內部網絡的設備發送 CORS 預檢請求,檢查是否允許與公共網站進行連接。與現時的子網絡保護的分別是,新功能專門針對導向請求,當瀏覽器檢測到公共網站試圖連接內部設備,瀏覽器將首先向該設備發送預檢請求。
其運作原理如下:
1.在網民點擊連接時,有些黑客會在網站加入惡意編碼,偷偷將對方重新定向到隱藏惡意功能的網站。新功能就像一個安全檢查站,在惡意網站對設備造成傷害之前,阻止它們發起導航請求。
2.雙重檢查目的地: 在允許訪問之前,Chrome 瀏覽器會驗證請求的來源和目標網站的安全狀態,在允許加載頁面前確保兩個網站都是安全的。
3.如果訪問受阻,Chrome 瀏覽器會顯示清晰的錯誤訊息,告知潛在威脅並保護用戶隱私。此外,開發人員還能通過 Chrome 瀏覽器的 DevTools 工具獲得相關訊息,幫助開發者改進網站。
4.針對黑客可通過更新頁面誤導瀏覽器認為是內部訪問要求的弱點,新功能將會禁止已被拒絕進行內部訪問的網頁進行自動更新,並顯示錯誤訊息。
現時 Chrome 版本 123 這項測試中的安全功能,只會在警告連線模式中被啟動,而且初期階段可能會誤將一些合法的連接,判定為惡意行為並加以阻攔,但官方指在 3 月 13 日推出正式版後,系統將允許用家針對每個網站實施禁用。雖然並非萬無一失,但專家認為可算是在上網安全上邁出重要一步。
