Nieuws
image

Google Chrome vraagt straks toestemming voor toegang tot lokale netwerk

maandag 16 juni 2025, 11:41 door Redactie, 6 reacties

Google Chrome krijgt een nieuwe optie waardoor websites straks toestemming aan gebruikers moeten vragen als ze toegang tot het lokale netwerk en apparaten daarop willen hebben. Via de Local Network Access specificatie moeten cross-site request forgery (CSRF) aanvallen worden voorkomen. In het verleden zijn bijvoorbeeld routers geregeld het doelwit van CRSF-aanvallen geweest. Via CSRF is het mogelijk voor een aanvaller om handelingen vanuit de browser van de gebruiker uit te voeren zodra er webcontent van de aanvaller wordt verwerkt.

Local Network Access beperkt de mogelijkheid van websites om requests naar servers en apparaten op het lokale netwerk van de gebruiker te sturen, waaronder servers die lokaal op de machine van de gebruiker draaien. De toegang wordt pas na toestemming van de gebruiker verleend, die hiervoor via een pop-up het verzoek kan toestaan of weigeren. Als eerste mijlpijl voor de implementatie van Local Network Access zal Google elk verzoek van het publieke netwerk naar een lokaal netwerk of loopback destination als een "lokaal netwerkverzoek" beschouwen.

De feature zal straks in Chrome 138 zijn te testen. Google wil Local Network Access naar eigen zeggen zo snel mogelijk uitrollen. Daarnaast komt er ook een Chrome enterprise policy waarmee beheerders kunnen instellen welke sites wel of geen lokale netwerkverzoeken kunnen doen. Dit moet voorkomen dat gebruikers voor bekende, bedoelde use cases toch een waarschuwing te zien krijgen.

Image

Reacties (6)
Reageer met quote
Gisteren, 11:49 door Anoniem
Ah, weer een pop-up. Nu nemen gebruikers weloverwogen een goed geïnformeerde beslissing.
Waarom niet net als audio en video bijna onzichtbaar standaard blokkeren? Alleen als je er naar zoekt toestaan.
Reageer met quote
Gisteren, 12:51 door Anoniem
Vooral Google blijft netjes sandboxed hier. Toegang naar LAN kunnen ze echt helemaal vergeten. Maar goed, daar moet je eerst Chrome voor draaien dus. Dus dit gaat alleen gelden voor mensen die toch al geen behoefte aan privacy hebben dus ik gok dat ze er niet mee zitten.

Wellicht is het echt voor beveiliging. Ik heb alleen heel sterk het idee dat Google dat niets interesseert. En texten als "zo snel mogelijk uitrollen" komt mij dan weer extra creepy over. Alsof ze dit niet al decennia weten.
Reageer met quote
Gisteren, 13:22 door Anoniem
Dit lijkt mij een beetje overbodig. Een lokaal adres zal geen HTTPS verbinding zijn om het simpele gegeven dat je geen SSL certificaat voor een lokaal adres kan aanvragen die overal werkt. Dus lokale adressen zijn al minder toegankelijk.

Verder zullen de meeste mensen de melding gewoon wegklikken, omdat ze niet weten wat een lokaal netwerk is of omdat de website die ze willen bezoeken anders niet werkt.

Ik las ook dat Chrome AI gaat ondersteunen. Is dat ook lokaal? https://www.theregister.com/2025/06/11/mozilla_worries_googles_browser_ai/ Is dit de werkelijke reden?
Reageer met quote
Gisteren, 13:26 door Anoniem
Als dit hetzelfde geintje betreft dat Localhost-tracking mogelijk maakt, zou ik toch hopen dat Chrome niet de enige browser is die als de bliksem zo'n update krijgt... Zie https://news.ycombinator.com/item?id=44235467 - sites als Facebook maken daar op grote schaal misbruik van, terwijl een browser dat in principe toch al helemaal niet zou moeten toestaan.
Reageer met quote
Gisteren, 16:10 door Erik van Straten
Door Anoniem: Dit lijkt mij een beetje overbodig. Een lokaal adres zal geen HTTPS verbinding zijn [...]
Chrome onder Android, in Settings onder Privacy and security is de standaard instelling:
Always use secure connections
Off

Bij mij stond deze ingesteld als:
Always use secure connections
Warns you for insecure public sites

Als ik http://192.168.178.1 open, maakt Chrome die verbinding zonder eerst te waarschuwen.

Kennelijk is er een instelling toegevoegd, in Settings onder Privacy and security > Always use secure connections zie ik zojuist (voor het eerst), als ik dat aan zet, de volgende opties (met de bovenste mogelijkheid standaard aan):
(o) Warns you for insecure public sites

(  ) Warns you for insecure public& private sites
Private sites might include things like your company's intranet

Nadat ik voor de onderste optie heb gekozen, zie ik terug in Settings onder Privacy and security:
Always use secure connections
Warns you for insecure public & private sites

Als ik nu http://192.168.178.1 probeer te openen, verschijnt er éérst een waarschuwing die begint met:
192.168.178.1 doesn’t support a secure connection with HTTPS

Echter, zélfs deze instellingen garanderen niet dat Chrome in de achtergrond geen http-verbindingen maakt - indien een getoonde (externe) webpagina daar om vraagt. Immers, regels voor "third party content" zijn altijd veel minder restrictief geweest. Hoe Chrome hier op dit moment mee omgaat heb ik niet getest.
Reageer met quote
Gisteren, 19:01 door Anoniem
Is dit een aanvulling op meldingen die je tegenwoordig steeds vaker krijgt van 'mag deze app zoeken naar apparaten op je netwerk?' waar je tegenwoordig allemaal over na moet denken pfff
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure