<div dir="ltr"><div dir="ltr">On Mon, May 3, 2021 at 3:38 PM youenn fablet <<a href="mailto:youennf@gmail.com">youennf@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 3 mai 2021 à 14:58, Titouan Rigoudy via webkit-dev <<a href="mailto:webkit-dev@lists.webkit.org" target="_blank">webkit-dev@lists.webkit.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi there friendly WebKittens,<div><br></div><div>I am gearing up to ship a small first step of Private Network Access [1] in Chromium. Roughly:</div><div><br></div><div>Websites served over HTTP from public IP addresses will no longer be allowed to make subresource fetches to private IP addresses (RFC1918 and/or localhost). Specifically, this restriction applies to non-secure contexts. Secure contexts are unaffected by this change.</div></div></blockquote><div><br></div><div>This seems like a good move to me.</div><div>To be sure to understand, private IP address servers will not be able to opt-in to be accessed by any HTTP origin.</div><div>But they will be able to opt-in for specific HTTPS origins.</div><div>Is it correct?</div></div></div></blockquote><div><br></div><div>That's the intended end state. I have not implemented the CORS preflight logic needed for target websites to opt in. So, when we ship this:</div><div> - private IP address servers will not be fetchable from any HTTP origins (precisely: non-secure contexts)</div><div> - but they remain fetchable with no change at all from HTTPS origins (precisely: secure contexts)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>We have metrics in place telling us that ~0.1% of page visits at most make use of this feature.</div></div></blockquote><div><br></div><div>Do you know whether these 0.1% happens more often in corporate networks?</div></div></div></blockquote><div><br></div><div>While we have seen some instances that seem to fit the Intranet bill, our fine-grained metrics have shown that this feature in small amounts on a wide variety of websites, most of which are public.</div><div><br></div><div>Cheers,</div><div>Titouan</div><div>  </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>I am interested in WebKit's opinion on this matter. </div><div><br></div><div>For more details, see the chromestatus entry [2] and the Intent to Ship thread on <a href="mailto:blink-dev@chromium.org" target="_blank">blink-dev@chromium.org</a> [3].</div><div><br></div><div>Cheers,</div><div>Titouan</div><div><br></div><div>[1] <a href="https://wicg.github.io/private-network-access/" target="_blank">https://wicg.github.io/private-network-access/</a></div><div>[2] <a href="https://chromestatus.com/feature/5436853517811712" target="_blank">https://chromestatus.com/feature/5436853517811712</a></div><div>[3] <a href="https://groups.google.com/a/chromium.org/g/blink-dev/c/cPiRNjFoCag/m/DxEEN9-6BQAJ" target="_blank">https://groups.google.com/a/chromium.org/g/blink-dev/c/cPiRNjFoCag/m/DxEEN9-6BQAJ</a></div></div>
_______________________________________________<br>
webkit-dev mailing list<br>
<a href="mailto:webkit-dev@lists.webkit.org" target="_blank">webkit-dev@lists.webkit.org</a><br>
<a href="https://lists.webkit.org/mailman/listinfo/webkit-dev" rel="noreferrer" target="_blank">https://lists.webkit.org/mailman/listinfo/webkit-dev</a><br>
</blockquote></div></div>
</blockquote></div></div>