Google, tarayıcılar kullanılarak ağ aygıtlarına çeşitli akınlar uygulanmasının önüne geçebilmek ismine uç nokta aygıtlarının mahallî adreslerine web sitelerinin erişmesini yeni Chrome sürümüyle birlikte engelleyeceğini duyurdu.
Yeni uygulanan PNA (Private Network Access) isimli W3C spesifikasyonu yardımıyla önümüzdeki vakit diliminde yayınlanması planlanan Chrome 98 ve Chrome 101 sürümlerinde web sitelerinin iç ağlara ve özel network yapılarında bulunan adreslere erişmesi engellenecek. Chrome 101 sürümünden itibaren internet üstündeki web siteleri dahili ağda yer alan kaynaklara bağlanabilmek için kullanıcıdan PNA müsaadesi isteyecek. Bu müsaade sürecinin iletimi içinse CORS istek ve cevapları kullanılacak.
Büsbütün güvenlik emelli yapılan bu değişiklik, CSRF (Cross-Site Request Forgery) üzere güvenlik açıkları kullanılarak ağ aygıtlarının ele geçirilmesini engellemeye yönelik. Çünkü en sıradan haliyle örnek verecek olursak evvelce amaç modemde bir CSRF zafiyeti bulan yahut var iseyılan parola ayrıntılarını bilen saldırgan, ilgili CSRF’yi tetikleyecek kodu kendi web sitesine yerleştirerek ziyaretçilerin modemindeki ayarları kendi istediği biçimde değiştirebiliyordu.
Biroldukça ağ aygıtının idare panelinde şahsi deneyimlerime dayanarak CSRF açığı var olduğunu, bu açık olmasa bile biroldukça kullanıcının aygıt panelini hala var iseyılan parolalarla kullandığını söyleyebilirim. Bu da haliyle büyük bir güvenlik riski doğuruyordu. Artık ilerideki süreçte web sitelerinin mahallî adreslere erişebilmesi için müsaade gerekeceğinden saldırganların ekmeğine adeta taş koyuldu diyebiliriz.
Yeni uygulanan PNA (Private Network Access) isimli W3C spesifikasyonu yardımıyla önümüzdeki vakit diliminde yayınlanması planlanan Chrome 98 ve Chrome 101 sürümlerinde web sitelerinin iç ağlara ve özel network yapılarında bulunan adreslere erişmesi engellenecek. Chrome 101 sürümünden itibaren internet üstündeki web siteleri dahili ağda yer alan kaynaklara bağlanabilmek için kullanıcıdan PNA müsaadesi isteyecek. Bu müsaade sürecinin iletimi içinse CORS istek ve cevapları kullanılacak.
Büsbütün güvenlik emelli yapılan bu değişiklik, CSRF (Cross-Site Request Forgery) üzere güvenlik açıkları kullanılarak ağ aygıtlarının ele geçirilmesini engellemeye yönelik. Çünkü en sıradan haliyle örnek verecek olursak evvelce amaç modemde bir CSRF zafiyeti bulan yahut var iseyılan parola ayrıntılarını bilen saldırgan, ilgili CSRF’yi tetikleyecek kodu kendi web sitesine yerleştirerek ziyaretçilerin modemindeki ayarları kendi istediği biçimde değiştirebiliyordu.
Biroldukça ağ aygıtının idare panelinde şahsi deneyimlerime dayanarak CSRF açığı var olduğunu, bu açık olmasa bile biroldukça kullanıcının aygıt panelini hala var iseyılan parolalarla kullandığını söyleyebilirim. Bu da haliyle büyük bir güvenlik riski doğuruyordu. Artık ilerideki süreçte web sitelerinin mahallî adreslere erişebilmesi için müsaade gerekeceğinden saldırganların ekmeğine adeta taş koyuldu diyebiliriz.