Data di pubblicazione: 9 ottobre 2024
L'accesso alla rete privata (PNA) è una funzionalità di sicurezza che impedisce ai siti web pubblici di accedere agli endpoint sulla rete privata senza che questi endpoint siano attivati esplicitamente. In questo modo una varietà di attacchi, come il Cross-Site Request Forgery (CSRF). PNA consente contesti sicuri per richiedere sottorisorse dalla rete privata e Alla fine, l'obiettivo è che tutte le richieste di rete privata funzionino solo se l'endpoint viene attivato rispondendo a una richiesta preflight.
Avevamo precedentemente annunciato che le richieste preflight PNA vengano applicate in modo forzato da Chrome 130. L'implementazione è attualmente in pausa a causa di una serie di problemi di compatibilità.
Al momento le richieste di rete privata sono limitate solo ai contesti sicuri, con una
prova di ritiro
per i siti web che possono disattivarle. I preflight PNA non sono attualmente applicati. Di recente abbiamo aggiunto 0.0.0.0/8 a Private Network Access per risolvere un problema nella specifica. Ciò significa che i contesti non sicuri non possono accedere a0.0.0.0/8 e qualsiasi ulteriore implementazione dell'applicazione delle norme relative ai dati proprietari tratterà 0.0.0.0 come un indirizzo locale. Stiamo valutando alternative come autorizzazioni aggiuntive
per agevolare l'implementazione. Pubblicheremo un post su questo blog con altre informazioni una volta
abbiamo definito un nuovo piano di implementazione.