Google은 항상 Chrome을 더욱 안전하게 만들기 위해 노력하고 있습니다. Chrome 98부터 회사는 Private Network Access라는 새로운 보안 조치 덕분에 라우터나 프린터와 같은 네트워크 장치를 공격하는 것을 훨씬 더 어렵게 만들 것입니다.
Ars Technica에서 처음 보고한 바와 같이 Chrome 98은 공용 웹사이트가 사용자의 사설 네트워크(라우터, 프린터, NAS, 스마트 홈 가젯 등) 내부의 엔드포인트에 액세스하려고 할 때 요청을 가로채고 시도를 기록합니다. Chrome의 이후 버전에서는 Chrome 101이 나오자마자 사용자가 권한을 부여할 때까지 브라우저가 실제로 이러한 요청을 차단합니다.
롤아웃 계획에서 Google은 “사설 네트워크 액세스(이전의 CORS-RFC1918)는 웹사이트가 사설 네트워크의 서버에 요청을 보내는 기능을 제한합니다.”라고 말합니다.
라우터는 특히 웜의 공격을 받는 경우가 많으며 DDoS 공격에 라우터를 사용하는 봇넷의 공격을 받습니다. 하지만 웹사이트에서도 웹 브라우저를 사용하여 라우터를 공격했다는 사실을 알고 계셨습니까? 이제 Google은 이러한 종류의 공격을 다시 수행하기 위해 Chrome을 사용하는 웹사이트를 중지할 것입니다.
대규모로 이것은 AWS와 같은 주요 서비스가 다운되는 것을 막을 수 있고 소규모로 최종 사용자가 DDoS 공격을 통해 연결 과부하를 받는 것을 방지할 수 있습니다.
2014년에는 해커들이 교차 사이트 요청 위조를 사용하여 300,000개 이상의 무선 라우터에 대한 DNS 서버 설정을 변경했는데, 이는 브라우저의 개방형 특성 때문에 발생할 수 밖에 없었습니다. Chrome에 대한 이 변경 사항이 활성화되어 있었다면 이 공격이 발생하지 않았을 것입니다.
Google은 이 변경으로 인해 인터넷의 상당 부분이 손상되지 않도록 평가판 기간을 사용해야 하기 때문에 정해진 출시 날짜가 없습니다. 중대한 중단이 없다고 가정하면 Chrome에서 전체 웹 공격 클래스를 방지할 수 있는 추가 보안 계층이 생성됩니다.
Chrome 98에서는 Chrome이 사설 네트워크 하위 리소스 요청(사설 네트워크의 기기에 대한 액세스를 요청하는 웹사이트)보다 먼저 실행 전 요청을 보냅니다. 모든 실패는 요청에 달리 영향을 미치지 않고 DevTools에 경고를 표시합니다. Chrome은 데이터를 수집하고 가장 큰 영향을 받는 웹사이트에 연락하여 알려줍니다.
Chrome 101(테스트 중에 모든 것이 잘되는 경우)에서는 실행 전 요청이 성공해야 합니다. 그렇지 않으면 요청이 실패합니다.
대부분의 Chrome 사용자는 일상적인 웹 브라우징에서 크게 변하지 않아야 합니다. 그러나 업데이트가 최종적으로 실행되면 더 안전한 환경이 제공되며 허용 또는 거부에 대한 몇 가지 추가 메시지가 표시될 수 있습니다.
무슨 일이 일어나고 어떻게 작동하는지에 대한 모든 기술적인 세부 사항을 원하시면 Google의 사설 네트워크 액세스 게시물을 읽을 수 있습니다. 모든 기술적인 내용을 다루지만 대부분의 사람들은 브라우저가 특정 유형의 공격을 시작하기 전에 차단한다는 사실을 알고 기뻐할 것이며 이는 좋은 일입니다.
