Quando visito un sito Web su Internet pubblico, il sito Web può far sì che il mio browser invii richieste a un indirizzo IP locale (come 10.0.0.1). Questo può essere usato per attaccare siti web interni, ad esempio attraverso Attacchi CSRF.
Perché i browser lo consentono? Se i browser lo vietassero, aumenterebbe la sicurezza? Se i browser lo vietassero, interromperà i siti e quanto sarà grande l'impatto? Possiamo quantificare l'impatto negativo o il vantaggio in termini di sicurezza?
Sfondo: gli indirizzi IP locali come 10.0.0.1 vengono utilizzati per i siti intranet interni. Sono non pubblicamente instradabili e sono usati solo per reti private .
Riferimento: vedi i commenti di Jeremiah Grossman in Case study sulla sicurezza del browser: le apparenze possono essere ingannevoli , coda ACM vol 10 no 10, 20 novembre 2012. Ha sollevato questa domanda e commenta su due possibili motivi, sebbene l'articolo non quantifica quanti siti potrebbero essere influenzati negativamente da tale modifica (per essere onesti, probabilmente era oltre la scope of the article).
Aggiornamento: apparentemente in stile metro IE 10 impone alcune restrizioni lungo queste linee (consultare la sezione intitolata Risorse di rete private).