Opublikowano: 9 października 2024 r.
Dostęp do sieci prywatnej (PNA) to funkcja zabezpieczeń, która uniemożliwia witrynom publicznym dostęp do punktów końcowych w sieci prywatnej bez wyraźnej zgody tych punktów końcowych. Zapobiega to np. ataku typu Cross-Site Request Forgery (CSRF). PNA zezwala tylko niezabezpieczonym kontekstom na żądanie podzasobów z prywatnej sieci. Ostatecznie wszystkie żądania sieci prywatnej będą działać tylko wtedy, gdy punkt końcowy wyrazi zgodę, odpowiadając na żądanie wstępne.
Wcześniej informowaliśmy, że prośby o sprawdzenie przed lotem dotyczące PNA będą wymagane od wersji Chrome 130. Wdrożenie jest obecnie wstrzymane z powodu kilku problemów ze zgodnością.
Prywatne żądania sieciowe są obecnie ograniczone tylko do bezpiecznych kontekstów, a test wycofywania jest dostępny dla witryn, które chcą zrezygnować z tych żądań. Obecnie nie stosujemy wymagań dotyczących wstępnej weryfikacji PNA. Niedawno
dodał(a) 0.0.0.0/8 do dostępu przez sieć prywatną, rozwiązując problem z
specyfikacji. Oznacza to, że dostęp do niezabezpieczonych kontekstów jest ograniczony
0.0.0.0/8 i wszystkie kolejne wdrożenia egzekwowania zasad PNA będą traktować 0.0.0.0 jako
pod adresem lokalnym. Rozważamy alternatywne rozwiązania, takie jak dodatkowe uprawnienia, aby ułatwić wdrażanie. Po ustaleniu nowego planu wdrażania opublikujemy na blogu więcej informacji.