O polyfill é um projecto javascript que simplifica a vida dos web developers, adicionando capacidades modernas aos browsers mais antigos. Como se pode imaginar, é imensamente popular, mas em Fevereiro começaram as preocupações, quando o site polyfill.io foi vendido a uma empresa chinesa desconhecida e sem qualquer historial ou tradição na gestão deste tipo de projectos - levando a que o próprio criador do projecto, que não tinha qualquer relação com o site, recomendasse que todos parassem de o utilizar.
If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.
— Andrew Betts (@triblondon) February 25, 2024
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI
Esses receios acabaram por se confirmar, tendo sido detectado código malicioso deliberado, que pode redireccionar visitantes das páginas que usem o polyfill.io para sites de apostas.
A Cloudflare achou que a situação era tão gravosa que se justificava fazer algo que habitualmente seria extremamente polémico, trocando os pedidos para os endereços polyfill.io malicioso para os substitutos seguros que mantinha em cache. Isto depois de também ter detectado que o site fazia referências indevidas à Cloudflare, como forma de aumentar a sua suposta legitimidade, e que nunca deram resposta aos pedidos para que isso fosse removido.
Agora, os responsáveis do site lançaram uma tentativa de salvar a sua imagem, dizendo que foi um atacante externo que adicionou o código malicioso para lhes estragar a reputação. Não fossem todos os anteriores sinais de alerta, desde o momento em que o site foi comprado, até talvez pudessem ter o benefício da dúvida; mas tendo em conta tudo o que se passou, é tempo de abandonar por completo toda e qualquer referência ao site Polyfill.io - tal como o criador do projecto apelou logo em Fevereiro.
Nota: O projecto polyfill, em si, não é malicioso. A versão distribuída pelo site polyfill.io (que não tem qualquer relação oficial com o projecto) é que é maliciosa.
Obrigado Carlos Martins por esclarecer melhor.
ResponderEliminarRecebi uma mensagem do Google Maps Platform cujo um projeto meu usa o Polyfill, indicado pelo próprio Google para usar em suas APIs.
Removi imediatamente a referência da biblioteca e depois fui pesquisar sobre o assunto.
Sua matéria foi muito importante para esclarecer o motivo já que o Google não disse muito sobre o assunto.
Obrigado.