Accès au réseau privé suspendu

Publié le 9 octobre 2024

L'accès au réseau privé (PNA) est une fonctionnalité de sécurité qui empêche les sites Web publics d'accéder aux points de terminaison du réseau privé sans que ces points de terminaison ne l'autorisent explicitement. Cela empêche diverses attaques, telles que la falsification de requêtes intersites (CSRF). PNA n'autorise que les contextes sécurisés à demander des sous-ressources sur le réseau privé. À terme, l'objectif est que toutes les requêtes de réseau privé ne fonctionnent que si le point de terminaison les active en répondant à une requête préliminaire.

Nous avions précédemment annoncé que les requêtes de prévol PNA seraient appliquées à partir de Chrome 130. Ce déploiement est actuellement suspendu en raison d'un certain nombre de problèmes de compatibilité.

Les requêtes de réseau privé sont actuellement limitées aux contextes sécurisés uniquement, avec un essai de suppression pour les sites Web qui peuvent désactiver cette fonctionnalité. Les prévols PNA ne sont actuellement pas appliqués. Nous avons récemment ajouté 0.0.0.0/8 à l'accès au réseau privé, ce qui a permis de résoudre un problème dans les spécifications. Cela signifie que les contextes non sécurisés ne peuvent pas accéder à 0.0.0.0/8, et que tout déploiement ultérieur de l'application de la PNA traitera 0.0.0.0 comme une adresse locale. Nous envisageons d'autres options, telles que des autorisations supplémentaires, pour faciliter le déploiement. Nous vous communiquerons plus d'informations sur ce blog une fois que nous aurons défini un nouveau plan de déploiement.