https://thehackernews.com/2022/01/chrome-limits-websites-access-to.html
Google Chromeは、ブラウザを介した侵入を防ぐための今後の主要なセキュリティシェイクアップの一環として、パブリックWebサイトがプライベートネットワーク内にあるエンドポイントに直接アクセスすることを禁止する計画を発表しました。
提案された変更は、プライベートネットワークアクセス(PNA)と呼ばれる新しく実装されたW3C仕様を介して、今後数か月以内に予定されているChrome98とChrome101のリリースで構成される2つのフェーズで展開される予定です。
つまり、Chromeバージョン101以降、インターネット経由でアクセスできるWebサイトは、内部ネットワークリソースにアクセスする前に、ブラウザから明示的な許可を求めるようになります。
つまり、新しいPNA仕様では、ブラウザ内に、Webサイトがローカルネットワークの背後でゲートされたサーバーに接続を取得するように要求できるようにする機能が追加されています。
「この仕様は、クロスオリジンリソースシェアリング(CORS)プロトコルも拡張しているため、ウェブサイトは、任意のリクエストの送信を許可される前に、プライベートネットワーク上のサーバーからの許可を明示的にリクエストする必要があります」とRigoudyは、Googleが最初に計画を発表した2021年8月に述べました。
「この機能をオンにすると、ハードウェアで強制されるスタック保護、任意のコードガード(ACG)、およびコンテンツフローガード(CFG)がセキュリティ緩和をサポートし、Web上のユーザーのセキュリティを強化します。」
Chromeは、セキュリティ上の理由から、ウェブサイトのプライベートネットワークへの直接アクセスを制限しています。noreply@ blogger.com(Ravie Lakshmanan)
security summary
コメント