Názory k článku
Chrome omezí přístup do místní sítě podle standardu Private Network Access (PNA)

Chápu správně, že si už nenakonfiguruju ani printserver v místní síti? A co takový webserver na mém domácím serveru od kterého mě dělí jen pár metrů drátu a jeden switch, to už taky bude znemožněno?

Co zůstane dovoleno? Přístup na bigtech weby? Další krůček k tomu, aby člověk přestal být pánem svého zařízení?

A jak vůbec to zneužití a útok na lokální zařízení skrz prohlížeč probíhá? Nějaký javascript běžící v zobrazeném webu, kterému je dovoleno přistupovat kamkoli jinam, ne jen na URL odkud byl spuštěn?

kdybys místo nemístných výkřiků radši kliknul na odkaz, kde je to vysvětlené. prohlížeč bude blokovat přístup z veřejných stránek do místní sítě.

Ne, to nechápete správně. Cílem není, aby se uživatel nemohl dostat do místní sítě. Cílem je, aby to nemohl udělat JavaScript z libovolné veřejné webové stránky. Pokud bude chtít v takové situaci stránka oslovovat místní adresy, bude je muset požádat o povolení.

Budiž, bude-li tímto způsobem omezený pouze uživatelem nevyžádaný přístup, tak je snad vše ok. Naopak je hodně špatně, že to dosud šlo. (DNS ReBind)

Bohužel "dobrých" umyslů a "naivních" implementací, které vedou k špatným důsledkům okolo sebe vidím čím dál víc (nejenom v IT), tak proto jsem poněkud "skeptičtější". A Google rozhodně není z nejdůvěryhodněj­ších.

To si ale zasloužilo lépe vysvětlit i v samotné zprávičce.

Předpokládám, že tím je myšleno třeba 0day exploit administrace routeru ve vnitřní síti skrze prohlížeč oběti.

Ze článku jsem to pochopil tak, že pokud bude chtít stránka přistupovat na vnitřní adresy, tak vyskočí podobná žádost o oprávnění, jako když chce stránka zasílat notifikace/přístup k poloze apod.

A co je interni adresa prosim? Je 1.1.1.1 interni adresa? je 192.168.1.1. interni adresa? je a:a:a::a interni adresa? atd atd.

Tady máte tabulku.

"Privatni" neni to same, co "interni". Ted se to uz sice nedeje, ale kdysi sem delal ve firme, ktera mela interni sit postavenou na verejnych adresach (i kdyz primej pristup z/do internetu router blokoval). Tehdy bylo jeste adres jako plevelu, tak vzali jednu B-class, a pokud se nemylim, maji ji doted...

Ja bych za interni sit bral cokoliv co je dostupno na fyzickem rozhrani - i kdyby to melo byt soucasti komercniho a verejneho cecka treba. Proste vsechny primo dostupne site, nez trefite na router.

Ty skutecne "privatni" site se totiz neroutuji, ne? (a pokud mate prave takovou adresu, protoze jste za natem, tak to pokryva to pravidlo co jsem napsal vyse).

Webova stranka nema co kontaktovat cizi adresy krome te, kterou jsem zadal. To uz pak je spis aplikace a daval bych si pozor na hromadu veci (soubory, mikrofon, kameru, gpu, atd.. vetsina veci uz je hlidana nastesti - ted prichazi rada na sitarinu).

Ja bych za interni sit bral cokoliv co je dostupno na fyzickem rozhrani
Jak by to prohlížeč poznal? Posílal by ARP pakety?

Ty skutecne "privatni" site se totiz neroutuji, ne?
Spousta privátních sítí se routuje. Neroutují se v globálním internetu, což ale neznamená, že ne neroutují v jednotlivých sítích připojených k internetu.

Webova stranka nema co kontaktovat cizi adresy krome te, kterou jsem zadal.
Existují dobré důvody, proč třeba statické soubory (styly, skripty, obrázky) stahovat z jiné domény, než na které je adresa, kterou jste zadal. Stejně tak dobré důvody jsou pro to mít na jiné doméně API. Přičemž to API může být od třetí strany. Potřebujete na stránce vygenerovat QR kód pro platbu? Proč by si to měl každý implementovat sám, když může použít hotovou službu? Chcete našeptávat adresy? Totéž. Chcete umožnit uživateli přidat si událost do svého kalendáře? Daleko lepší než ho otravovat stahováním souboru a jeho uploadem někam jinam je kontaktovat rovnou jeho webový kalendář. Atd. atd.

A že to je webová aplikace a ne webová stránka? No jo, ale je to pořád ten stejný prohlížeč, stejný protokol, stejná omezení, stejné možnosti. Ostatně, takový Root – je to stránka nebo aplikace? Můžete tu přidávat komentáře, hodnotit ostatní komentáře – to je spíš aplikace než statický obsah, ne?

Máte na mysli podsíť/segment? Jinak to snad ani nejde, protože aplikace neumí zjistit strukturu sítě (snad nějakým multicastovým pingem do sítě, a to musí router podporovat). Segment ale není LAN. A ten článek a obrázek jak pro blbečky toho taky moc nevysvětluje.

V LAN složené z více segmentů se routuje. Měl jste na mysli něco jiného?

Webový prohlížeč běžně načítá obsah z jiných adres, než ze které načetl stránku, javaskript může komunikovat kdekam. Měl jste na mysli něco jiného?

To bych vám tedy poděkoval. Samozřejmě, že i privátní sítě routují. Ano, domácí API s pěti zařízeními ne, ale kdekoliv potřebuje te vyšší komplexitu, na router narazíte. Ostatně proč by v rámci privátních rozsahů routovat nemohly?

Připomínám, že tato nejasnost je důležitá především u IPv6, kde jsou na rozdíl od IPv4 veřejné adresy základem.

Připomínám, že od rozptýlení té nejasnosti vás dělí jenom jedno kliknutí.

https://developer.chrome.com/blog/private-network-access-preflight/

a specialne


Key Term
Private network requests are requests whose target server's IP address is more private than that from which the request initiator was fetched. For example, a request from a public website (https://example.com) to a private website (http://router.local), or a request from a private website to localhost.


Jo, to chci videt, jak to na GUA ipv6 naimplementuji.

Výše jsem dával odkaz na tabulku ze specifikace, kde jsou rozsahy privátních adres vypsané.

to ale neřeší problém, kdy mám více stránek v privátních sítích, které spolu navzájem komunikují. Na první pohled mi to připadá, že to může způsobit spousty problémů.

To není žádný problém, protože stránka z privátní sítě může komunikovat s ostatními stránkami z privátní sítě. IP adresy jsou rozdělené do tří skupin – veřejné, privátní a lokální. Není možné komunikovat z venku dovnitř, ale opačným směrem nebo v rámci jedné skupiny lze. Nějaké problémy to způsobí, ale myslím si, že je to lepší řešení než zákaz překladu DNS na privátní adresy ve veřejném internetu.

i samotní autoři zmiňují dost potenciálních problémů, takže bych s tvrzením "to není žádný problém" byl hodně opatrný. Mix sítí (ipv4, ipv6, mapped ipv4) v kombinaci s různými NAT, běhy ve virtualizovaných sítích (SDN či kubernetes), tencí klienti mohou způsobit pěkné nečekané situace.

Prosím všechny: než začnete něco odsuzovat, nebo se pokoušet dělat závěry na základě doměnek -- přečtěte si tu spec.

No jo, ale kdyby si všichni diskutující nejprve specifikaci přečetli, žádná diskuse by tu nebyla…

No právě...