Teknoloji

Chrome, Web Sitelerinin İç Ağ Adreslerine Erişmesini Engelleyecek

Google, tarayıcılar kullanılarak ağ aygıtlarına çeşitli hücumlar uygulanmasının önüne geçebilmek ismine uç nokta aygıtlarının lokal adreslerine web sitelerinin erişmesini yeni Chrome sürümüyle bir arada engelleyeceğini duyurdu.

Yeni uygulanan PNA (Private Network Access) isimli W3C spesifikasyonu sayesinde önümüzdeki vakit diliminde yayınlanması planlanan Chrome 98 ve Chrome 101 sürümlerinde web sitelerinin iç ağlara ve özel network yapılarında bulunan adreslere erişmesi engellenecek. Chrome 101 sürümünden itibaren internet üzerindeki web siteleri dahili ağda yer alan kaynaklara bağlanabilmek için kullanıcıdan PNA müsaadesi isteyecek. Bu müsaade sürecinin iletimi içinse CORS istek ve karşılıkları kullanılacak.

Büsbütün güvenlik gayeli yapılan bu değişiklik, CSRF (Cross-Site Request Forgery) üzere güvenlik açıkları kullanılarak ağ aygıtlarının ele geçirilmesini engellemeye yönelik. Çünkü en kolay haliyle örnek verecek olursak evvelce gaye modemde bir CSRF zafiyeti bulan yahut varsayılan parola bilgilerini bilen saldırgan, ilgili CSRF’yi tetikleyecek kodu kendi web sitesine yerleştirerek ziyaretçilerin modemindeki ayarları kendi istediği formda değiştirebiliyordu.

Birçok ağ aygıtının idare panelinde ferdî deneyimlerime dayanarak CSRF açığı var olduğunu, bu açık olmasa bile birçok kullanıcının aygıt panelini hala varsayılan parolalarla kullandığını söyleyebilirim. Bu da haliyle büyük bir güvenlik riski doğuruyordu. Artık ilerideki süreçte web sitelerinin mahallî adreslere erişebilmesi için müsaade gerekeceğinden saldırganların ekmeğine adeta taş koyuldu diyebiliriz.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu