Publicado em 9 de outubro de 2024
O acesso de rede particular (PNA, na sigla em inglês) é um recurso de segurança que impede que sites públicos acessem endpoints na rede privada sem que esses endpoints optem explicitamente por isso. Isso evita uma variedade de ataques, como falsificação de solicitações entre sites (CSRF). A PNA permite que apenas contextos seguros solicitem subrecursos da rede privada. A meta é que todas as solicitações de rede privada só funcionem se o endpoint ativar a opção respondendo a uma solicitação de pré-vôo.
Já havíamos anunciado que as solicitações de simulação de PNA seriam aplicadas a partir do Chrome 130. O lançamento está suspenso devido a vários problemas de compatibilidade.
No momento, as solicitações de rede privada são restritas apenas a contextos seguros, com
um
teste de descontinuação
para que os sites possam desativar essa opção. No momento, os preflights de PNA não são aplicados. Recentemente, adicionamos 0.0.0.0/8 ao acesso à rede privada para resolver um problema na
especificação. Isso significa que os contextos não seguros não podem acessar
0.0.0.0/8, e qualquer lançamento adicional da aplicação de PNA vai tratar 0.0.0.0 como
um endereço local. Estamos considerando alternativas, como permissões adicionais,
para facilitar o lançamento. Vamos postar mais informações neste blog assim que
determinarmos um novo plano de lançamento.