Google Chrome vraagt straks toestemming voor toegang tot lokale netwerk

[Captain Kirk]

Google Chrome krijgt een nieuwe optie waardoor websites straks toestemming aan gebruikers moeten vragen als ze toegang tot het lokale netwerk en apparaten daarop willen hebben. Via de Local Network Access specificatie moeten cross-site request forgery (CSRF) aanvallen worden voorkomen. In het verleden zijn bijvoorbeeld routers geregeld het doelwit van CRSF-aanvallen geweest. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt.

Local Network Access beperkt de mogelijkheid van websites om requests naar servers en apparaten op het lokale netwerk van de gebruiker te sturen, waaronder servers die lokaal op de machine van de gebruiker draaien. De toegang wordt pas na toestemming van de gebruiker verleend, die hiervoor via een pop-up het verzoek kan toestaan of weigeren. Als eerste mijlpijl voor de implementatie van Local Network Access zal Google elk verzoek van het publieke netwerk naar een lokaal netwerk of loopback destination als een "lokaal netwerkverzoek" beschouwen.

De feature zal straks in Chrome 138 zijn te testen. Google wil Local Network Access naar eigen zeggen zo snel mogelijk uitrollen. Daarnaast komt er ook een Chrome enterprise policy waarmee beheerders kunnen instellen welke sites wel of geen lokale netwerkverzoeken kunnen doen. Dit moet voorkomen dat gebruikers voor bekende, bedoelde use cases toch een waarschuwing te zien krijgen.

 

bron: https://www.security.nl