Data publikacji: 9 października 2024 r.
Prywatny dostęp do sieci (PNA) to funkcja zabezpieczeń, która uniemożliwia witrynom publicznym dostęp do punktów końcowych w sieci prywatnej, jeśli te punkty końcowe nie wyraziły na to zgody. Zapobiega to różnym atakom, takim jak atak polegający na sfałszowaniu żądania z innej witryny (CSRF). PNA zezwala wyłącznie zabezpieczonym kontekstom na wysyłanie żądań zasobów podrzędnych z sieci prywatnej. Docelowo ma sprawić, że wszystkie żądania sieciowe będą działać tylko wtedy, gdy punkt końcowy wyrazi na to zgodę, odpowiadając na żądanie wstępne.
Wcześniej informowaliśmy, że prośby o sprawdzenie przed lotem dotyczące PNA będą wymagane od wersji Chrome 130. To wdrożenie jest obecnie wstrzymane z powodu szeregu problemów ze zgodnością.
Prywatne żądania sieciowe są obecnie ograniczone tylko do bezpiecznych kontekstów, a test wycofywania jest dostępny dla witryn, które chcą zrezygnować z tych żądań. Obecnie nie stosujemy wymagań dotyczących wstępnej weryfikacji PNA. Niedawno w sekcji „Dostęp do sieci prywatnej” dodaliśmy 0.0.0.0/8, rozwiązując problem w tej specyfikacji. Oznacza to, że niezabezpieczone konteksty nie mają dostępu do 0.0.0.0/8, a kolejne wdrożenia egzekwowania PNA będą traktować 0.0.0.0 jako adres lokalny. Rozważamy alternatywne rozwiązania, takie jak dodatkowe uprawnienia, aby ułatwić wdrażanie. Po ustaleniu nowego planu wdrażania opublikujemy na blogu więcej informacji.