এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

ব্যক্তিগত নেটওয়ার্ক অ্যাক্সেস: ওয়েব কর্মীদের জন্য বর্ধিত সুরক্ষা এবং নেভিগেশন আনা

Jonathan Hao

ব্যক্তিগত নেটওয়ার্ক অ্যাক্সেস কি?

প্রাইভেট নেটওয়ার্ক অ্যাক্সেস (PNA, পূর্বে CORS-RFC1918 নামে পরিচিত এবং সংক্ষেপে স্থানীয় নেটওয়ার্ক অ্যাক্সেস) হল একটি নিরাপত্তা বৈশিষ্ট্য যা ব্যক্তিগত নেটওয়ার্কে সার্ভারে অনুরোধ পাঠানোর জন্য ওয়েবসাইটগুলির ক্ষমতাকে সীমাবদ্ধ করে। এটি ব্যবহারকারীদের এবং অভ্যন্তরীণ নেটওয়ার্কগুলিকে ক্রস-সাইট রিকোয়েস্ট ফোরজি (CSRF) এর মতো সম্ভাব্য আক্রমণ থেকে রক্ষা করতে সাহায্য করে। Chrome ধীরে ধীরে PNA প্রয়োগ করছে, এবং আসন্ন রিলিজে সুরক্ষা প্রসারিত করা হবে।

মূল PNA সুরক্ষা (তাদের বর্তমান অবস্থা সহ)

সুরক্ষিত প্রসঙ্গ : ব্যক্তিগত নেটওয়ার্ক সাবরিসোর্স অনুরোধ করার জন্য শুধুমাত্র নিরাপদ প্রসঙ্গগুলিকে অনুমতি দেওয়া হয় (Chrome 94 অনুযায়ী প্রয়োগ করা হয়েছে)। বিস্তারিত জানার জন্য আমাদের ব্যক্তিগত নেটওয়ার্ক অ্যাক্সেস আপডেট পোস্ট পড়ুন।
প্রিফ্লাইট অনুরোধ : ক্রোম সার্ভারের অনুমতি পরীক্ষা করার জন্য ব্যক্তিগত নেটওয়ার্ক সাবরিসোর্স অনুরোধের আগে প্রিফ্লাইট অনুরোধ পাঠায় (Chrome 104 থেকে ব্যর্থতার জন্য DevTools-এ সতর্কতা, Chrome 130 এ প্রয়োগ করা হবে)। এটি প্রাইভেট নেটওয়ার্ক অ্যাক্সেসে বর্ণিত হয়েছে: প্রিফ্লাইট প্রবর্তন । Chrome 123 থেকে, Chrome কিছু CORS শিরোনাম বাদ দেবে যেমন Accept যদি প্রিফ্লাইট শুধুমাত্র PNA-এর কারণে তৈরি এবং পাঠানো হয়।
একই-অরিজিন ছাড় : Chrome 115 থেকে, সম্ভাব্য বিশ্বস্ত উত্স থেকে একই-অরিজিন অনুরোধগুলি PNA বিধিনিষেধ থেকে অব্যাহতিপ্রাপ্ত।

বর্ধিত সুরক্ষা: ওয়েব কর্মীরা

PNA সুরক্ষা ওয়েব কর্মীদের (নিবেদিত কর্মী, ভাগ করা কর্মী, এবং পরিষেবা কর্মীদের) পর্যন্ত প্রসারিত হবে। এর মধ্যে রয়েছে:

কর্মী স্ক্রিপ্টগুলি আনা : কম-পাবলিক আইপি ঠিকানাগুলির জন্য সুরক্ষিত প্রসঙ্গ এবং প্রিফ্লাইটগুলির প্রয়োজন৷ Chrome 110 থেকে সতর্কতা, Chrome 130-এ প্রয়োগ করা হবে।
কর্মী স্ক্রিপ্ট দ্বারা সূচনা করা : কর্মী স্ক্রিপ্টের মধ্যে থেকে সমস্ত আনা একই PNA নিয়ম অনুসরণ করে।

Chrome 124 দিয়ে শুরু করে, আপনি নিম্নলিখিত পদক্ষেপগুলি ব্যবহার করে প্রয়োগ পরীক্ষা করতে পারেন:

chrome://flags/#private-network-access-ignore-worker-errors অক্ষম করুন
chrome://flags/#private-network-access-respect-preflight-results সক্ষম করুন

বর্ধিত সুরক্ষা: নেভিগেশন আনা

CSRF আক্রমণে তাদের সম্ভাব্য ব্যবহারের কারণে PNA নেভিগেশন ফেচ (iframes, পপআপ) এর ক্ষেত্রেও প্রযোজ্য। Chrome 123 ব্যর্থতার জন্য সতর্কতা দেখাতে শুরু করেছে, Chrome 130 এর জন্য এনফোর্সমেন্ট পরিকল্পনা করা হয়েছে।

Chrome 124 দিয়ে শুরু করে, আপনি এর মাধ্যমে প্রয়োগ পরীক্ষা করতে পারেন:

chrome://flags/#private-network-access-ignore-navigation-errors অক্ষম করুন
chrome://flags/#private-network-access-respect-preflight-results সক্ষম করুন

যখন PNA একটি নেভিগেশন অনুরোধ ব্লক করে, ব্যবহারকারীরা ম্যানুয়ালি পুনরায় লোড করার এবং অনুরোধের অনুমতি দেওয়ার বিকল্প সহ একটি নির্দিষ্ট ত্রুটি দেখতে পাবেন।

আপনার ওয়েবসাইট প্রভাবিত হলে কি করবেন?

পোস্ট প্রাইভেট নেটওয়ার্ক অ্যাক্সেস: প্রিফ্লাইট প্রবর্তনের নির্দেশিকা অন্তর্ভুক্ত। গুরুত্বপূর্ণভাবে, নেভিগেশন অনুরোধের জন্য:

Access-Control-Allow-Origin একটি ওয়াইল্ডকার্ড হতে পারে না ( "*" )।
Access-Control-Allow-Credentials অবশ্যই "true" তে সেট করতে হবে।

এরপর কি?

WebSockets : অস্থায়ীভাবে Chrome 126 থেকে শুরু করে, PNA ওয়েবসকেট হ্যান্ডশেক (সতর্কতা প্রথমে) কভার করবে।
সম্পূর্ণ প্রয়োগ : Chrome 130-এ অস্থায়ীভাবে সমস্ত PNA নিষেধাজ্ঞা বলবৎ করা হবে (অনুসরণকারী অনুরোধগুলিকে ব্লক করা)। ব্যবহারকারীদের বিশ্বস্ত সাইটগুলির জন্য PNA ওভাররাইড করার জন্য একটি সাইট সেটিং থাকবে।

ব্যক্তিগত নেটওয়ার্ক ব্যবহারের ক্ষেত্রে প্রতিক্রিয়া

আপনি যদি একটি ব্যক্তিগত নেটওয়ার্কে একটি ওয়েবসাইট হোস্ট করেন যার জন্য সর্বজনীন নেটওয়ার্কের অনুরোধের প্রয়োজন হয়, Chrome টিম আপনার প্রতিক্রিয়া চায়! ক্রোমিয়াম ইস্যু ট্র্যাকারে একটি সমস্যা ফাইল করুন (কম্পোনেন্ট: ব্লিঙ্ক>সিকিউরিটি ফিচার>সিওআরএস>প্রাইভেট নেটওয়ার্ক অ্যাক্সেস)।

Unsplash এ Jakub Żerdzicki এর ছবি