Özel Ağ Erişimi nedir?
Özel Ağ Erişimi (PNA, eski adıyla CORS-RFC1918 ve kısaca Yerel Ağ Erişimi), web sitelerinin özel ağlardaki sunuculara istek gönderme özelliğini kısıtlayan bir güvenlik özelliğidir. Bu sayede kullanıcılar ve dahili ağlar, siteler arası istek sahtekarlığı (CSRF) gibi olası saldırılardan korunabilir. Chrome, PNA'yı kademeli olarak uygulamaya koyuyor. Koruma, gelecekteki sürümlerde genişletilecek.
Önemli PNA korumaları (mevcut durumlarıyla birlikte)
- Güvenli Bağlamlar: Yalnızca güvenli bağlamların özel ağ alt kaynağı isteği göndermesine izin verilir (Chrome 94'ten itibaren zorunludur). Ayrıntılar için Özel Ağ Erişimi güncelleme gönderimizi inceleyin.
- Ön uç isteklerinde bulunma: Chrome, sunucu izinlerini kontrol etmek için özel ağ alt kaynak isteklerinden önce ön uç isteklerinde bulunma gönderir (Chrome 104'ten beri Chrome 130'ta uygulanacak olan hatalar için DevTools'ta uyarılar). Bu konu Özel Ağ Erişimi: Ön kontrolleri kullanıma sunuyoruz başlıklı makalede açıklanmıştır. Chrome 123'ten beri Chrome, ön uç uçuş yalnızca PNA nedeniyle oluşturulup gönderilirse
Acceptgibi bazı CORS üstbilgilerini atlar. - Aynı Kaynaktan İsteklerle İlgili Muafiyetler: Chrome 115'ten beri, güvenilir olabilecek kaynaklardan gelen aynı kaynaktan istekler PNA kısıtlamalarından muaftır.
Genişletilmiş koruma: Web işçileri
PNA koruması, web çalışanlarını (özel çalışanlar, paylaşılan çalışanlar ve hizmet çalışanları) kapsayacak şekilde genişletilecek. Bunlardan bazıları:
- İşleyici komut dosyalarını getirme: Daha az herkese açık IP adresleri için güvenli bağlamlar ve ön uç kontrolleri gerekir. Chrome 110'dan beri Chrome 130'ta uygulanacak uyarılar.
- Çalışma script'leri tarafından başlatılan getirme işlemleri: Çalışma script'lerinden yapılan tüm getirme işlemleri aynı PNA kurallarına uyar.
Chrome 124'ten itibaren aşağıdaki adımları uygulayarak yaptırımı test edebilirsiniz:
chrome://flags/#private-network-access-ignore-worker-errorsAPI'sini devre dışı bırakınchrome://flags/#private-network-access-respect-preflight-resultshizmetini etkinleştir
Genişletilmiş koruma: Gezinme getirmeleri
PNA, CSRF saldırılarında kullanılabilme olasılıkları nedeniyle gezinme getirme işlemleri (iFrame'ler, pop-up'lar) için de geçerlidir. Chrome 123'te, Chrome 130'ta yaptırımın planlandığı hatayla ilgili uyarılar gösterilmeye başlandı.
Chrome 124'ten itibaren yaptırımı test etmek için:
chrome://flags/#private-network-access-ignore-navigation-errorsAPI'sini devre dışı bırakınchrome://flags/#private-network-access-respect-preflight-resultshizmetini etkinleştir
PNA bir gezinme isteğini engellediğinde kullanıcılara, isteği manuel olarak yeniden yükleme ve isteğe izin verme seçeneğini içeren belirli bir hata gösterilir.
Web siteniz etkilenirse ne yapmalısınız?
Özel Ağ Erişimi: Ön kontrolleri kullanıma sunuyoruz başlıklı gönderide bu konuda yol gösterici bilgiler verilmektedir. Gezinme istekleri için önemli olan şu noktalardır:
Access-Control-Allow-Origin, joker karakter ("*") olamaz.Access-Control-Allow-Credentials,"true"olarak ayarlanmalıdır.
Sırada ne var?
- WebSockets: PNA, Chrome 126'dan itibaren WebSocket el sıkışmalarını (önce uyarılar) kapsayacak.
- Tam Yaptırım: Tüm PNA kısıtlamaları, Chrome 130'ta geçici olarak uygulanacak (uyumlu olmayan istekler engellenecek). Kullanıcılar, güvenilir siteler için PNA'yı geçersiz kılacak bir site ayarına sahip olacaktır.
Özel ağ kullanım alanları için geri bildirim
Özel bir ağda, herkese açık ağlardan istek alması gereken bir web sitesi barındırıyorsanız Chrome Ekibi'nin geri bildiriminizi öğrenmek istediğini bilmenizi isteriz. Chromium Sorun İzleyici'de (bileşen: Blink>SecurityFeature>CORS>PrivateNetworkAccess) sorun gönderin.
Fotoğraf: Jakub Żerdzicki, Unsplash