Chrome でテストされた内部ネットワーク保護機能を明確に説明するには、まず例を示して (完全なプロセスではなく、簡単な説明です。詳細については、CSRF (クロスサイト リクエスト フォージェリ) を参照してください)、誰もが理解できるようにする必要があります。たとえば、Bluepoint が使用するイントラネット環境には脆弱なルーターがあります。この脆弱性はローカル コード (インジェクションなど) を通じて実行される可能性がありますが、私はこの脆弱性を修正するためにファームウェアを長い間アップグレードしていませんでした。

ハッカーがこの脆弱性を利用して侵入するのは簡単ではありませんが、ブラウザを介して中継される可能性があります。たとえば、この悪意のあるコードを実行するコンテンツが Web サイトに埋め込まれる可能性があります。この Web ページを閲覧すると、この悪意のあるコードが実行される可能性があります。

類推すると、ハッカーは多数の既知の脆弱性を検索して悪意のあるコードを作成し、それをいくつかの人気のある Web サイトに配置することができます。このように、誰もが閲覧する際には、常に一定の確率でイントラネット内の脆弱性の影響を受ける機器に遭遇し、侵入される可能性があります。

内部ネットワーク保護機能:

Chrome の新しい内部ネットワーク機能は、このような攻撃をブロックするように設計されています。 Google の説明は次のとおりです。悪意のある Web サイトがユーザー エージェントのネットワーク上の場所を介してデバイスやサービスを攻撃するのを防ぐために、これらのデバイスやサービスはユーザーのローカル イントラネットまたはユーザー コンピュータ上に常駐するように合理的に設定されており、インターネット全体からはアクセスできません。

この目的のために、Google は、パブリック ネットワークからプライベート ネットワーク アドレス (127.0.0.1 や 192.168.1.1 など) へのクロスサイト アクセスを禁止する内部ネットワーク保護機能を開始しました。

Chrome は、Web ページを読み込むときに事前チェックを実行して、リクエストが安全なコンテキストからのものであるかどうかを確認し、アクセスされるサイトが内部アドレス (イントラネット上に構築された HTTP サーバー、ローカル IP 経由でアクセスできるルーターなど) であるかどうかを確認するための事前リクエストを送信します。

たとえば、次の埋め込み iframe を使用して CSRF 攻撃を実行し、ローカル ネットワーク上のルーター DNS を変更することができます。

<iframehref="https://admin:[email protected]/set_dns?server1=123.123.123.123">

新しいエラーメッセージ:

このようなアクセス要求がブロックされると、Chrome は次のエラー メッセージを表示します: BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS

これは、現在アクセスしている Web サイトが内部アドレスにアクセスしようとしていることを意味します。ユーザーがこのようなプロンプトを見た場合は、Web サイト自体に問題があることに注意して注意する必要があります。

最後に、この機能はまだ正式にリリースされておらず、Chrome のさまざまなチャネルで段階的にテストされる予定です。