Pasukan Chrome milik Google telah memperkenalkan cadangan keselamatan baharu yang akan mengubah secara asas cara laman web berinteraksi dengan peranti dalam rangkaian tempatan anda. Pada masa ini, mana-mana laman web yang anda lawati boleh secara senyap menyelidik penghala rumah, pencetak, atau peranti bersambung lain anda tanpa pengetahuan anda. Cadangan ini bertujuan untuk mengembalikan kuasa tersebut kepada pengguna melalui sistem berasaskan kebenaran.
Masa cadangan ini mencerminkan kebimbangan yang semakin meningkat tentang privasi dan keselamatan dalam dunia yang semakin bersambung. Dengan lebih banyak peranti pintar di rumah dan peningkatan kerja dari rumah, potensi penyalahgunaan telah berkembang dengan ketara. Pasukan Chrome secara khusus menyebut bagaimana laman web berniat jahat boleh menggunakan pelayar anda sebagai wakil terkawal untuk menyerang peranti yang terdedah dalam rangkaian tempatan anda.
Jurang Keselamatan Semasa
Sekarang ini, laman web boleh bebas menghantar permintaan kepada mana-mana peranti dalam rangkaian tempatan anda tanpa meminta kebenaran. Walaupun CORS ( Cross-Origin Resource Sharing ) menyediakan sedikit perlindungan dengan mengehadkan respons yang boleh dibaca oleh laman web, ia tidak menghalang permintaan daripada dihantar pada mulanya. Ini bermakna laman web berniat jahat berpotensi mengeksploitasi penghala, pencetak, atau peranti lain yang terdedah dengan menghantar permintaan yang direka khas, walaupun ia tidak dapat melihat respons.
Komuniti telah menyatakan sokongan kuat untuk menangani jurang keselamatan ini. Ramai pengguna terkejut mengetahui bahawa laman web mempunyai keupayaan ini sama sekali, dengan sesetengahnya membandingkannya dengan membenarkan laman web mengakses keseluruhan sistem fail anda - sesuatu yang akan dianggap sebagai kecacatan keselamatan yang jelas.
Bagaimana Sistem Baharu Akan Berfungsi
Di bawah sistem yang dicadangkan, apabila laman web cuba mengakses peranti dalam rangkaian tempatan anda, pelayar anda akan memaparkan gesaan kebenaran yang bertanya sama ada anda mahu membenarkan sambungan tersebut. Ini terpakai kepada permintaan yang melintasi sempadan ruang alamat - pada asasnya apabila laman web awam cuba bercakap dengan peranti rangkaian peribadi atau perkhidmatan localhost .
Cadangan ini mentakrifkan tiga ruang alamat: awam (boleh diakses oleh sesiapa), tempatan (rangkaian rumah anda), dan localhost (hanya komputer anda). Permintaan daripada ruang yang lebih awam kepada ruang yang lebih peribadi akan mencetuskan sistem kebenaran.
Walau bagaimanapun, pelaksanaan menghadapi cabaran teknikal, terutamanya berkaitan penyekatan kandungan bercampur dan kerumitan menentukan apa yang membentuk rangkaian tempatan dalam persekitaran perusahaan moden.
Definisi Ruang Alamat:
- Awam: Boleh diakses oleh sesiapa sahaja di internet
- Tempatan: Alamat IP peribadi yang hanya boleh diakses oleh ahli rangkaian tempatan ( RFC1918 )
- Localhost: Hanya boleh diakses oleh peranti itu sendiri (127.0.0.1, ::1)
Kebimbangan Komuniti dan Kesan Perusahaan
Cadangan ini telah mencetuskan perdebatan yang ketara tentang kesan berpotensi terhadap aliran kerja sedia ada. Banyak aplikasi perusahaan bergantung pada laman web awam yang boleh berkomunikasi dengan sumber rangkaian dalaman. Sesetengah pengguna bimbang tentang keberkesanan gesaan kebenaran, dengan menyatakan bahawa kebanyakan orang cenderung untuk mengklik benarkan tanpa memahami sepenuhnya implikasinya.
Windows UAC telah menunjukkan dengan jelas bahawa pengguna akan sentiasa mengklik melalui mana-mana modal yang menghalang mereka tanpa pemikiran atau pemahaman.
Terdapat juga kebimbangan teknikal tentang bagaimana ini akan berfungsi dengan rangkaian IPv6 , di mana perbezaan antara alamat tempatan dan awam kurang jelas. Perusahaan besar sering menggunakan julat IP peribadi untuk perkhidmatan dalaman yang merangkumi beberapa lokasi, merumitkan definisi apa yang membentuk rangkaian tempatan.
Kes Penggunaan Sah Masih Disokong
Cadangan ini tidak direka untuk merosakkan fungsi yang sah. Kes penggunaan biasa seperti aliran OAuth yang mengubah hala ke localhost , integrasi pengurus kata laluan, dan aliran kerja persediaan peranti masih akan berfungsi, walaupun mereka mungkin memerlukan kebenaran pengguna yang jelas. Sistem ini juga akan membenarkan pengeluar terus menggunakan laman web awam untuk membantu pengguna mengkonfigurasi peranti tempatan, selagi pengguna bersetuju dengan sambungan tersebut.
Pelayaran rangkaian tempatan - seperti mengakses panel pentadbir penghala anda secara langsung - tidak akan terjejas kerana ini tidak melibatkan permintaan silang asal daripada laman web luaran.
Permintaan Yang Memerlukan Kebenaran:
- Permintaan Awam → Rangkaian tempatan
- Permintaan Awam → Localhost
- Permintaan Tempatan → Localhost
- Nota: Permintaan Tempatan → Tempatan TIDAK memerlukan kebenaran
Memandang ke Hadapan
Cadangan ini mewakili peralihan yang ketara ke arah keselamatan terkawal pengguna dalam pelayar web. Walaupun ia mungkin menyebabkan sedikit geseran awal untuk aplikasi tertentu, ia menangani kebimbangan keselamatan tulen yang telah wujud sejak hari-hari awal web. Cabarannya ialah melaksanakannya dengan cara yang memberikan faedah keselamatan yang bermakna tanpa mencipta kekecewaan pengguna yang berlebihan atau merosakkan kes penggunaan yang sah.
Cadangan ini masih dalam peringkat awal dan belum diluluskan untuk pelaksanaan dalam Chrome . Pasukan sedang aktif mencari maklum balas daripada pembangun dan pakar keselamatan untuk memperhalusi pendekatan sebelum sebarang pelancaran berpotensi.
Rujukan: Explainer for Local Network Access