Veröffentlicht: 9. Oktober 2024
Der Private Network Access (PNA) ist eine Sicherheitsfunktion, die verhindert, dass öffentliche Websites auf Endpunkte im privaten Netzwerk zugreifen, ohne dass diese Endpunkte ausdrücklich dafür aktiviert wurden. So werden verschiedene Angriffe wie Cross-Site Request Forgery (CSRF) verhindert. Mit PNA können nur sichere Kontexte Unterressourcen aus dem privaten Netzwerk anfordern. Ziel ist es, dass alle privaten Netzwerkanfragen nur funktionieren, wenn der Endpunkt durch Beantworten einer Preflight-Anfrage zustimmt.
Wir hatten bereits angekündigt, dass PNA-Preflight-Anfragen ab Chrome 130 erzwungen werden. Aufgrund einiger Kompatibilitätsprobleme ist das Roll-out derzeit ausgesetzt.
Anfragen an private Netzwerke sind derzeit nur auf sichere Kontexte beschränkt. Es gibt jedoch einen Testzeitraum für die Einstellung, in dem Websites die Funktion deaktivieren können. PNA-Vorabprüfungen werden derzeit nicht erzwungen. Wir haben vor Kurzem 0.0.0.0/8 zum privaten Netzwerkzugriff hinzugefügt, um ein Problem in der Spezifikation zu beheben. Das bedeutet, dass der Zugriff auf 0.0.0.0/8 für unsichere Kontexte eingeschränkt ist und 0.0.0.0 bei allen weiteren Einführungen der PNA-Durchsetzung als lokale Adresse behandelt wird. Wir prüfen Alternativen wie zusätzliche Berechtigungen, um die Einführung zu erleichtern. Sobald wir einen neuen Einführungsplan festgelegt haben, veröffentlichen wir weitere Informationen in diesem Blog.