/https://www.html.it/app/uploads/2024/06/JS.png "Polyfill.io: il CDN per JavaScript si difende dalle accuse")
Alcuni giorni fa è circolata in rete la notizia secondo cui polyfill.io, piattaforma specializzata nella distribuzione di polyfill, sarebbe stata utilizzata per diffondere malware. Da qui il consiglio da parte di alcuni analisti di sicurezza di rimuovere il codice JavaScript eventualmente richiamato tramite il CDN nei propri siti Web.
I polyfill sono script JavaScript che consentono di integrare funzionalità assenti nei browser. Soprattutto di vecchia data. Risolvendo così i problemi di compatibilità con le Web application. L'accusa verso cdn.polyfill.io è stata quella di veicolare un attacco basato sulla supply chain. Ciò avrebbe convinto alcuni provider di servizi CDN, tra cui Fastly e Cloudflare, a fornire dei mirror di polyfill.io per permettere ai siti coinvolti di continuare a utilizzare i polyfill senza doverli richiamare da polyfill.io.
Polyfill.io difende il suo CDN JavaSCript
Sentendosi accusati, i responsabili del progetto hanno deciso di difendere le proprie posizioni tramite alcuni interventi su X. In uno di essi questi ultimi hanno parlato chiaramente di una diffamazione con scopi malevoli. Il servizio non presenterebbe alcun rischio a livello di supply chain in quanto tutti i contenuti vengono memorizzato staticamente nella cache.
Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,
but no one would do this as it would be jeopardize our own reputation.We have already…
— Polyfill (@Polyfill_Global) June 26, 2024
I gestori di polyfill.io hanno voluto ricordare inoltre che qualsiasi interazione con piattaforme di terze parti potrebbe rappresentare un potenziali pericolo per un sito Web. Accusare il CDN per una colpa non propria non farebbe altro che metterne a rischio la reputazione.
We found media messages slandering polyfill. We want to explain that all our services are cached in Cloudflare and there is no supply chain risk.
— Polyfill (@Polyfill_Global) June 25, 2024
Le polemiche con Cloudflare
Come riportato da The Register, Cloudflare avrebbe avviato un servizio automatico di riscrittura degli URL in JavaScript per facilitare la sostituzione del codice da polyfill.io con quello di un mirror della stessa compagnia. I responsabili di polyfill.io non avrebbero però gradito questa decisione, sostenendo che tra i propri progetti futuro vi sarà quello di sviluppare un CDN globale in grado di superare quella di Cloudflare.
I have had enough of Cloudflare's repeated, baseless, and malicious defamation. Their unethical strategy of suppressing competition before promoting their own products is deplorable. Moving forward, I will be fully dedicated to developing a global CDN product that surpasses… pic.twitter.com/QEGrZkY2de
— Polyfill (@Polyfill_Global) June 27, 2024
/https://www.html.it/app/uploads/2018/07/javascript-cover.jpg)
/https://www.html.it/app/uploads/2024/06/malware.png)
/https://www.html.it/app/uploads/2024/03/react.jpeg)
/https://www.html.it/app/uploads/2024/02/htmx.png)