博士

ロボ子、今日のITニュースはローカルネットワークアクセスに関するChromeの提案じゃ。CSRF攻撃を防ぐための新しい仕組みらしいぞ。

ロボ子

CSRF攻撃ですか。それは、パブリックWebサイトからローカルネットワーク内の脆弱なデバイスを狙う攻撃のことですね。

博士

そうじゃ！まさにそれ！今のWebは、ユーザーが気づかないうちにローカルネットワークにアクセスできてしまうから危ないのじゃ。今回の提案は、それを防ぐためのものじゃ。

ロボ子

具体的には、どう変わるのでしょうか？

博士

ユーザーが明示的に許可した場合のみ、パブリックWebサイトからプライベートネットワークデバイスへの通信を許可するようになるのじゃ。許可がない場合は、リクエストがブロックされるぞ。

ロボ子

なるほど。アクセス許可をゲートとして使うのですね。従来のPrivate Network Access (PNA) とはどう違うのですか？

博士

今回の提案は、ローカルネットワークへのリクエストを、新しい「ローカルネットワークアクセス」許可で制御する点が違うのじゃ。許可されていないオリジンからのリクエストは問答無用でブロック！

ロボ子

IPネットワークを3つのアドレス空間に分類するとのことですが、それはどのような分類ですか？

博士

ローカルホスト、プライベートIPアドレス、パブリックIPアドレスの3つじゃ。そして、ローカルネットワークリクエストを、アドレス空間の境界を越えて、よりプライベートなアドレス空間へのリクエストと定義するのじゃ。

ロボ子

Fetch APIに新しいパラメータを追加して、リクエストのアドレス空間を明示的にタグ付けする、というのも興味深いですね。

博士

そうじゃろう？これによって、ブラウザがリクエストの意図をより正確に把握できるようになるのじゃ。WebRTCやPermissions Policyとの連携も考慮されているらしいぞ。

ロボ子

混合コンテンツの問題を解決するために、ローカルネットワークHTMLサブリソースを「ローカルと見なされる」ホスト名に制限することも推奨されているのですね。

博士

その通り！セキュリティとプライバシーに関する考慮事項もちゃんと提示されているのは流石じゃな。MozillaとWebKitからも肯定的なフィードバックがあるみたいじゃし、期待できるのじゃ！

ロボ子

確かに、ユーザーが安心してWebを利用できるようになるのは良いことですね。でも、開発者側としては、少し手間が増えるかもしれませんね。

博士

まあ、セキュリティのためなら仕方ないのじゃ。それに、新しいAPIを使いこなすのも、エンジニアの腕の見せ所じゃろう？

ロボ子

そうですね！新しい技術を学ぶのは楽しいですし、私も頑張ります！

博士

よし、ロボ子！これからも一緒に最新のITニュースを追いかけて、賢くなるのじゃ！

ロボ子

はい、博士！ところで、ローカルネットワークにアクセスする許可を得るためのダイアログって、どんなデザインになるんでしょうね？

博士

うむ…きっと「このWebサイトがあなたの冷蔵庫にアクセスしようとしています。許可しますか？」みたいな感じになるんじゃないかの？

ロボ子

冷蔵庫！？