Data di pubblicazione: 9 ottobre 2024
L'accesso alla rete privata (PNA) è una funzionalità di sicurezza che impedisce ai siti web pubblici di accedere agli endpoint sulla rete privata senza che questi endpoint siano attivati esplicitamente. In questo modo viene impedita una serie di attacchi, come le richieste intersito false (CSRF). La PNA consente solo ai contesti sicuri di richiedere risorse secondarie dalla rete privata e, in definitiva, l'obiettivo è che tutte le richieste di rete privata funzionino solo se l'endpoint viene attivato rispondendo a una richiesta di preflight.
In precedenza avevamo annunciato che le richieste di preflight PNA sarebbero state applicate a partire da Chrome 130. L'implementazione è attualmente in pausa a causa di una serie di problemi di compatibilità.
Al momento le richieste di rete privata sono limitate solo ai contesti sicuri, con una
prova di ritiro
per i siti web che possono disattivarle. I preflight PNA non sono attualmente applicati. Di recente abbiamo aggiunto 0.0.0.0/8 all'accesso alla rete privata, per risolvere un problema nella specifica. Ciò significa che i contesti non sicuri non possono accedere a0.0.0.0/8 e qualsiasi ulteriore implementazione dell'applicazione delle norme relative ai dati privati tratterà 0.0.0.0 come un indirizzo locale. Stiamo valutando alternative come autorizzazioni aggiuntive per semplificare l'implementazione e pubblicheremo in questo blog ulteriori informazioni non appena avremo definito un nuovo piano di implementazione.