Publié le 9 octobre 2024
L'accès au réseau privé (PNA) est une fonctionnalité de sécurité qui empêche les sites Web publics d'accéder aux points de terminaison du réseau privé s'ils n'ont pas explicitement activé ces points de terminaison. Cela empêche diverses attaques telles que la falsification de requêtes intersites (CSRF). La PNA n'autorise que les contextes sécurisés à demander des sous-ressources à partir du réseau privé. À terme, l'objectif est que toutes les requêtes de réseau privé ne fonctionnent que si le point de terminaison les active en répondant à une requête préliminaire.
Nous avions précédemment annoncé que les requêtes de prévol PNA seraient appliquées à partir de Chrome 130. Ce déploiement est actuellement suspendu en raison d'un certain nombre de problèmes de compatibilité.
Les requêtes de réseau privé sont actuellement limitées aux contextes sécurisés uniquement, avec un essai de suppression pour les sites Web qui peuvent désactiver cette fonctionnalité. Les vérifications préliminaires PNA ne sont pas appliquées actuellement. Nous avons récemment ajouté 0.0.0.0/8 à l'accès au réseau privé, ce qui a permis de résoudre un problème dans les spécifications. Cela signifie que les contextes non sécurisés ne peuvent pas accéder à 0.0.0.0/8, et que tout déploiement ultérieur de l'application de la PNA traitera 0.0.0.0 comme une adresse locale. Nous envisageons des alternatives, telles que des autorisations supplémentaires pour faciliter le déploiement. Nous publierons des informations supplémentaires sur ce blog une fois que nous aurons déterminé un nouveau plan de déploiement.