Publié le 9 octobre 2024
Accès au réseau privé (PNA) est une fonctionnalité de sécurité qui empêche les sites Web publics d’accéder aux points de terminaison sur le réseau privé sans que ces points de terminaison aient explicitement accepté. Cela permet d'éviter diverses attaques telles que la falsification de requête intersites (CSRF). La PNA n'autorise que les contextes sécurisés à demander des sous-ressources sur le réseau privé. À terme, l'objectif est que toutes les requêtes de réseau privé ne fonctionnent que si le point de terminaison les active en répondant à une requête préliminaire.
Nous avions annoncé que les requêtes de pré-vérification PNA seraient appliquées à partir de Chrome 130. Ce déploiement est actuellement suspendu en raison d'un certain nombre de problèmes de compatibilité.
Les requêtes de réseau privé sont actuellement limitées aux contextes sécurisés uniquement, avec un essai de suppression pour les sites Web qui peuvent désactiver cette fonctionnalité. Les prévols PNA ne sont actuellement pas appliqués. Nous avons récemment
Ajout de 0.0.0.0/8 à l'accès au réseau privé, ce qui résout un problème dans le
spécifique. Cela signifie que les contextes non sécurisés ne peuvent pas accéder à 0.0.0.0/8, et que tout déploiement ultérieur de l'application de la PNA traitera 0.0.0.0 comme une adresse locale. Nous envisageons d'autres options, telles que des autorisations supplémentaires, pour faciliter le déploiement. Nous vous communiquerons plus d'informations sur ce blog une fois que nous aurons défini un nouveau plan de déploiement.