Gepubliceerd: 9 oktober 2024
Private Network Access (PNA) is een beveiligingsfunctie die voorkomt dat openbare websites toegang krijgen tot eindpunten op het particuliere netwerk zonder dat deze eindpunten zich expliciet hebben aangemeld. Dit voorkomt een verscheidenheid aan aanvallen, zoals Cross-Site Request Forgery (CSRF). PNA staat alleen beveiligde contexten toe om subresources van het particuliere netwerk op te vragen, en uiteindelijk is het doel dat alle particuliere netwerkverzoeken alleen werken als het eindpunt zich aanmeldt door te reageren op een preflightverzoek.
We hadden eerder aangekondigd dat PNA-preflightverzoeken zouden worden afgedwongen vanuit Chrome 130. Deze uitrol is momenteel opgeschort vanwege een aantal compatibiliteitsproblemen.
Privé-netwerkverzoeken zijn momenteel beperkt tot alleen beveiligde contexten, met een beëindigingsproef voor websites om zich af te melden. PNA-preflights worden momenteel niet afgedwongen. We hebben onlangs 0.0.0.0/8 toegevoegd aan Private Network Access, waarmee een probleem in de specificatie wordt opgelost. Dit betekent dat onveilige contexten geen toegang meer hebben tot 0.0.0.0/8 , en dat bij verdere implementaties van PNA-handhaving 0.0.0.0 als een lokaal adres wordt behandeld. We overwegen alternatieven, zoals aanvullende machtigingen om de uitrol te vergemakkelijken, en we zullen op deze blog meer informatie posten zodra we een nieuw uitrolplan hebben vastgesteld.