Fecha de publicación: 9 de octubre de 2024
El acceso a red privada (PNA) es una función de seguridad que evita que los sitios web públicos accedan a los extremos de la red privada sin que estos extremos acepten explícitamente. Esto evita una variedad de ataques, como la falsificación de solicitudes entre sitios (CSRF). La PNA solo permite que los contextos seguros soliciten subrecursos de la red privada y, en última instancia, el objetivo es que todas las solicitudes de red privada solo funcionen si el extremo acepta respondiendo una solicitud preliminar.
Anteriormente, anunciamos que las solicitudes preliminares de PNA se aplicarían a partir de Chrome 130. Actualmente, este lanzamiento está en espera debido a una serie de problemas de compatibilidad.
Actualmente, las solicitudes de red privada se limitan solo a contextos seguros, con una prueba de baja para que los sitios web inhabiliten esta función. Por el momento, no se aplican los controles previos de PNA. Recientemente, añadimos 0.0.0.0/8 al Acceso a redes privadas para abordar un problema en la
especificación. Esto significa que los contextos no seguros no pueden acceder a 0.0.0.0/8, y cualquier lanzamiento adicional de la aplicación forzosa de PNA tratará a 0.0.0.0 como una dirección local. Estamos considerando alternativas, como permisos adicionales, para facilitar el lanzamiento. Publicaremos más información en este blog una vez que determinemos un nuevo plan de lanzamiento.