Accesso alla rete privata: introduzione dei preflight

Titouan Rigoudy
Titouan Rigoudy
Yifan Luo
Yifan Luo

Aggiornamenti

  • 7 luglio 2022: stato attuale aggiornato e aggiunta la definizione dello spazio degli indirizzi IP.
  • 27 aprile 2022: annuncio aggiornato sulle tempistiche.
  • 7 marzo 2022: è stato annunciato il rollback dopo aver rilevato dei problemi in Chrome 98.

Introduzione

Chrome ritirerà l'accesso diretto agli endpoint di rete privata da siti web pubblici nell'ambito della specifica Private Network Access (PNA).

Chrome inizierà a inviare una richiesta preflight CORS prima di qualsiasi richiesta di rete privata per una risorsa secondaria, che richiede l'autorizzazione esplicita del server di destinazione. Questa richiesta di preflight conterrà una nuova intestazione, Access-Control-Request-Private-Network: true, e la risposta deve contenere un'intestazione corrispondente, Access-Control-Allow-Private-Network: true.

Lo scopo è proteggere gli utenti dagli attacchi di falsificazione delle richieste cross-site (CSRF) che hanno come target router e altri dispositivi su reti private. Questi attacchi hanno interessato centinaia di migliaia di utenti, consentendo agli utenti malintenzionati di reindirizzarli a server dannosi.

Piano di implementazione

Chrome implementerà questa modifica in due fasi per dare ai siti web il tempo di notare la modifica e di conseguenza apportare le necessarie modifiche.

  1. In Chrome 104:

    • Chrome esegue esperimenti inviando richieste di preflight prima delle richieste di risorse secondarie della rete privata.
    • Gli errori di preflight mostrano solo avvisi in DevTools, senza influire sulle richieste di rete privata.
    • Chrome raccoglie i dati sulla compatibilità e contatta i siti web più grandi interessati.
    • Ci aspettiamo che sia ampiamente compatibile con i siti web esistenti.
  2. In Chrome 113 come data minima:

    • Questo inizierà solo se e quando i dati sulla compatibilità indicheranno che la modifica è abbastanza sicura e avremo contattato direttamente te, se necessario.
    • Chrome impone che le richieste preflight debbano andare a buon fine, altrimenti le richieste non andranno a buon fine.
    • Allo stesso tempo viene avviata una prova relativa al ritiro per consentire ai siti web interessati da questa fase di richiedere un'estensione del periodo di tempo. La prova durerà almeno 6 mesi.

Che cos'è l'accesso a rete privata (PNA)

L'accesso alla rete privata (in precedenza noto come CORS-RFC1918) limita la capacità dei siti web di inviare richieste ai server su reti private.

Chrome ha già implementato parte della specifica: a partire da Chrome 96, solo i contesti sicuri sono autorizzati a effettuare richieste di rete privata. Per maggiori dettagli, consulta il nostro post del blog precedente.

La specifica estende anche il protocollo CORS (Cross-Origin Resource Sharing) in modo che i siti web debbano ora richiedere esplicitamente una concessione dai server su reti private prima di poter inviare richieste arbitrarie.

In che modo PNA classifica gli indirizzi IP e identifica una rete privata

Gli indirizzi IP sono classificati in tre spazi di indirizzi IP: - public - private - local

Lo spazio degli indirizzi IP locali contiene indirizzi IP che sono indirizzi loopback IPv4 (127.0.0.0/8) definiti nella sezione 3.2.1.3 del documento RFC1122 o indirizzi loopback IPv6 (::1/128) definiti nella sezione 2.5.3 del documento RFC4291.

Lo spazio degli indirizzi IP privati contiene indirizzi IP che hanno significato solo all'interno della rete corrente, inclusi 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16 definiti nella RFC1918, indirizzi link-local 169.254.0.0/16 definiti nella RFC3927, indirizzi unicast IPv6 locali univoci fc00::/7 definiti nella RFC4193, indirizzi unicast IPv6 link-local fe80::/10 definiti nella sezione 2.5.6 della RFC4291 e indirizzi IPv6 mappati a IPv4 in cui l'indirizzo IPv4 mappato è esso stesso privato.

Lo spazio degli indirizzi IP pubblici contiene tutti gli altri indirizzi non menzionati in precedenza.

Un indirizzo IP locale è considerato più privato di un indirizzo IP privato, che è considerato più privato di un indirizzo IP pubblico.

Le richieste sono private quando una rete più disponibile invia una richiesta a una rete meno disponibile.
Relazione tra reti pubbliche, private e locali nell'accesso alla rete privata (CORS-RFC1918)

Scopri di più all'indirizzo Feedback richiesto: CORS per reti private (RFC1918).

Richieste preflight

Sfondo

Le richieste di preflight sono un meccanismo introdotto dallo standard Cross-Origin Resource Sharing (CORS) utilizzato per richiedere l'autorizzazione a un sito web di destinazione prima di inviargli una richiesta HTTP che potrebbe avere effetti collaterali. In questo modo, il server di destinazione comprende il protocollo CORS e riduce notevolmente il rischio di attacchi CSRF.

La richiesta di autorizzazione viene inviata come richiesta HTTP OPTIONS con intestazioni di richiesta CORS specifiche che descrivono la richiesta HTTP imminente. La risposta deve contenere intestazioni di risposta CORS specifiche che accettano esplicitamente la richiesta imminente.

Diagramma di sequenza che rappresenta il preflight CORS. Viene inviata al target una richiesta HTTP OPTIONS, che restituisce un codice 200 OK. Viene quindi inviata l'intestazione della richiesta CORS, che restituisce un'intestazione di risposta CORS

Novità di Accesso a rete privata

Nelle richieste di preflight viene introdotta una nuova coppia di intestazioni di richiesta e risposta:

  • Access-Control-Request-Private-Network: true è impostato su tutte le richieste di preflight PNA
  • Access-Control-Allow-Private-Network: true deve essere impostato su tutte le risposte di preflight PNA

Le richieste di preflight per le PNA vengono inviate per tutte le richieste di rete privata, indipendentemente dal metodo e dalla modalità di richiesta. Vengono inviati prima delle richieste in modalità cors, no-cors e in tutte le altre modalità. Questo accade perché tutte le richieste di rete private possono essere utilizzate per attacchi CSRF, indipendentemente dalla modalità di richiesta e dal fatto che i contenuti della risposta siano resi disponibili o meno all'iniziatore.

Le richieste di preflight per i PNA vengono inviate anche per le richieste dello stesso ambito, se l'indirizzo IP di destinazione è più privato di quello dell'iniziatore. A differenza del CORS normale, in cui le richieste di preflight sono solo per le richieste cross-origin. Le richieste di preflight per le richieste dello stesso ambito proteggono dagli attacchi di DNS rebinding.

Esempi

Il comportamento osservabile dipende dalla modalità della richiesta.

Modalità senza CORS

Supponiamo che https://foo.example/index.html incorpori <img src="https://bar.example/cat.gif" alt="dancing cat"/> e bar.example risolva in 192.168.1.1, un indirizzo IP privato secondo RFC 1918.

Chrome invia prima una richiesta preflight:

HTTP/1.1 OPTIONS /cat.gif
Origin: https://foo.example
Access-Control-Request-Private-Network: true

Affinché questa richiesta vada a buon fine, il server deve rispondere con:

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://foo.example
Access-Control-Allow-Private-Network: true

Poi Chrome invierà la richiesta effettiva:

HTTP/1.1 GET /cat.gif
...

A cui il server può rispondere normalmente.

Modalità CORS

Supponiamo che https://foo.example/index.html esegua il seguente codice:

await fetch('https://bar.example/delete-everything', {
  method: 'PUT',
  credentials: 'include',
})

Di nuovo, bar.example restituisce 192.168.1.1.

Chrome invia prima una richiesta preflight:

HTTP/1.1 OPTIONS /delete-everything
Origin: https://foo.example
Access-Control-Request-Method: PUT
Access-Control-Request-Credentials: true
Access-Control-Request-Private-Network: true

Affinché questa richiesta vada a buon fine, il server deve rispondere con:

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://foo.example
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Credentials: true
Access-Control-Allow-Private-Network: true

Poi Chrome invierà la richiesta effettiva:

HTTP/1.1 PUT /delete-everything
Origin: https://foo.example

A cui il server può rispondere in base alle normali regole CORS:

HTTP/1.1 200 OK
Access-Control-Allow-Origin: https://foo.example

Come sapere se il tuo sito web è interessato

A partire da Chrome 104, se viene rilevata una richiesta di rete privata, verrà inviata una richiesta di preflight. Se questa richiesta di preflight non va a buon fine, la richiesta finale verrà comunque inviata, ma nel riquadro dei problemi di DevTools verrà visualizzato un avviso.

Un avviso relativo a una richiesta di preflight non riuscita nel riquadro Problemi di Strumenti per sviluppatori. In particolare, deve essere indicato quanto segue:
   assicurati che le richieste di rete privata vengano effettuate solo alle risorse che lo consentono,
   insieme ai dettagli della richiesta specifica e delle risorse interessate elencate.

Le richieste di preflight interessate possono essere visualizzate e diagnosticate anche nel riquadro della rete:

Una richiesta di preflight non riuscita nel riquadro Network di DevTools per localhost
   restituisce uno stato 501.

Se la tua richiesta avrebbe attivato un normale preflight CORS senza regole di accesso alla rete privata, nel pannello della rete potrebbero essere visualizzati due preflight, con il primo che sembra sempre non riuscito. Si tratta di un bug noto e puoi ignorarlo.

Una richiesta di preflight non riuscita spuria prima di un preflight riuscito nel riquadro Rete di DevTools.

Per verificare cosa succede se l'esito positivo del preflight è stato applicato, puoi passare il seguente argomento della riga di comando, a partire da Chrome 98:

--enable-features=PrivateNetworkAccessRespectPreflightResults

Qualsiasi richiesta di preflight non riuscita comporterà un recupero non riuscito. In questo modo, potrai verificare se il tuo sito web funzionerà dopo la seconda fase del nostro piano di implementazione. Gli errori possono essere diagnosticati allo stesso modo degli avvisi utilizzando i riquadri di DevTools sopra indicati.

Che cosa fare se il tuo sito web è interessato

Quando questa modifica verrà implementata in Chrome 104, non dovrebbe causare interruzioni su nessun sito web. Tuttavia, ti consigliamo vivamente di aggiornare i percorsi delle richieste interessati per assicurarti che il tuo sito web continui a funzionare come previsto.

Hai a disposizione due soluzioni:

  1. Gestire le richieste preflight lato server
  2. Disattivare i controlli PNA con i criteri aziendali

Gestire le richieste preflight lato server

Aggiorna il server di destinazione di eventuali recuperi interessati in modo da gestire le richieste di preflight PNA. Innanzitutto, implementa il supporto per le richieste preflight CORS standard sulle route interessate. Aggiungi poi il supporto per le due nuove intestazioni di risposta.

Quando il server riceve una richiesta preflight (una richiesta OPTIONS con intestazioni CORS), deve verificare la presenza di un'intestazione Access-Control-Request-Private-Network: true. Se questa intestazione è presente nella richiesta, il server deve esaminare l'intestazione Origin e il percorso della richiesta, nonché eventuali altre informazioni pertinenti (ad esempio Access-Control-Request-Headers) per verificare che la richiesta sia sicura da consentire. In genere, devi consentire l'accesso a una singola origine sotto il tuo controllo.

Una volta che il server ha deciso di consentire la richiesta, deve rispondere con 204 No Content (o 200 OK) con le intestazioni CORS necessarie e la nuova intestazione PNA. Queste intestazioni includono Access-Control-Allow-Origin e Access-Control-Allow-Private-Network: true, oltre ad altre, se necessario.

Per scenari concreti, consulta gli esempi.

Disattivare i controlli di accesso alla rete privata utilizzando i criteri aziendali

Se disponi del controllo amministrativo sugli utenti, puoi disattivare i controlli di accesso alla rete privata utilizzando uno dei seguenti criteri:

Per ulteriori informazioni, consulta Comprendere la gestione dei criteri di Chrome.

Inviaci i tuoi commenti

Se ospiti un sito web all'interno di una rete privata che si aspetta richieste da reti pubbliche, il team di Chrome è interessato ai tuoi feedback e casi d'uso. Comunicacelo segnalando un problema relativo a Chromium all'indirizzo crbug.com e imposta il componente su Blink>SecurityFeature>CORS>PrivateNetworkAccess.

Passaggi successivi

In futuro, Chrome estenderà i controlli di accesso alla rete privata per coprire i worker web: worker dedicati, worker condivisi e worker di servizio. Prevediamo di iniziare a mostrare gli avvisi con Chrome 107.

In seguito, Chrome estenderà i controlli di accesso privato alla rete per coprire le navigazioni, inclusi iframe e popup. Prevediamo di iniziare a mostrare gli avvisi con Chrome 108.

In entrambi i casi, procederemo con cautela con un'implementazione graduale simile, per dare agli sviluppatori web il tempo di apportare modifiche e stimare il rischio di compatibilità.

Ringraziamenti

Foto di copertina di Mark Olsen su Unsplash.