Veröffentlicht: 9. Oktober 2024
Der Private Network Access (PNA) ist eine Sicherheitsfunktion, die verhindert, dass öffentliche Websites auf Endpunkte im privaten Netzwerk zugreifen, ohne dass diese Endpunkte ausdrücklich dafür aktiviert wurden. So werden verschiedene Angriffe wie Cross-Site Request Forgery (CSRF) verhindert. Mit PNA können nur sichere Kontexte Unterressourcen aus dem privaten Netzwerk anfordern. Ziel ist es, dass alle privaten Netzwerkanfragen nur funktionieren, wenn der Endpunkt durch Beantworten einer Preflight-Anfrage zustimmt.
Wir hatten bereits angekündigt, dass PNA-Preflight-Anfragen ab Chrome 130 erzwungen werden. Aufgrund einiger Kompatibilitätsprobleme ist das Roll-out derzeit ausgesetzt.
Anfragen an private Netzwerke sind derzeit nur auf sichere Kontexte beschränkt. Für Websites gibt es einen Testzeitraum für die Einstellung, in dem sie die Funktion deaktivieren können. PNA-Vorabprüfungen werden derzeit nicht erzwungen. Wir haben vor Kurzem 0.0.0.0/8 zum privaten Netzwerkzugriff hinzugefügt, um ein Problem in der Spezifikation zu beheben. Das bedeutet, dass der Zugriff auf 0.0.0.0/8 für unsichere Kontexte eingeschränkt ist und 0.0.0.0 bei allen weiteren Einführungen der PNA-Durchsetzung als lokale Adresse behandelt wird. Wir prüfen Alternativen wie zusätzliche Berechtigungen, um das Roll-out zu vereinfachen. Sobald wir einen neuen Roll-out-Plan festgelegt haben, veröffentlichen wir weitere Informationen in diesem Blog.