Es scheint, als h\u00e4tte der Schurkenkrieger der Cyberwelt wieder zugeschlagen! Dieses Mal hat er es auf Websites abgesehen, die das Content Delivery Network (CDN) cdn.polyfill.io nutzen. Aber was ist Polyfill \u00fcberhaupt? Na, das ist so etwas wie der Superheld unter den Webentwicklern. Dieses Tool erm\u00f6glicht es, Inhalte auf \u00e4lteren Browsern auszuf\u00fchren, die die neuesten Funktionen nicht unterst\u00fctzen. Polyfills sind so etwas wie das Einhorn der Webentwicklung – sie f\u00fcllen die L\u00fccken und stellen sicher, dass alles reibungslos l\u00e4uft.<\/p>\n
Leider hat sich der Schurkenkrieger gedacht: „Hey, warum nicht das gute alte Polyfill.io f\u00fcr meine b\u00f6sen Pl\u00e4ne ausnutzen?“ Und so hat er eine Supply-Chain-Attacke gestartet, bei der mehr als 100.000 Websites weltweit betroffen sind. Das bedeutet, dass viele Websites pl\u00f6tzlich Schadcode verteilen, anstatt uns mit lustigen Katzenvideos zu versorgen. Na toll.<\/p>\n
Aber keine Sorge, liebe Webentwickler und Website-Besitzer, es gibt bereits Alternativen zu Polyfill.io. Sowohl Fastly als auch Cloudflare bieten seit Februar alternative CDNs an. Das ist ein bisschen wie die Entscheidung zwischen Nutella und Marmelade – jeder hat seine Vorlieben. Aber laut dem Readme des GitHub-Projekts scheint das Projekt offiziell das CDN von Cloudflare zu verwenden. Ach, wer kann da noch durchblicken?<\/p>\n
Es wird noch kurioser: Die Website Polyfill.io wurde von dem chinesischen Unternehmen Funnull aufgekauft. Ja, richtig gelesen, Funnull. Klingt ein bisschen nach einem missgl\u00fcckten Zaubertrick. Jedenfalls hat Andrew Betts, der Betreiber des Polyfill-Projekts und Mitarbeiter bei Fastly, schon im Februar Alarm geschlagen und alle aufgefordert, sich von polyfill.io zu distanzieren. Das ist wie ein Held, der uns vor einem Schurken warnt, der noch nicht einmal in der Stadt ist. Vorfreude ist ja bekanntlich die sch\u00f6nste Freude.<\/p>\n
Aber genug von den Hintergrundinfos – was ist denn nun mit dem Schadcode los? Laut dem Blog des JavaScript-Security-Anbieters c\/side verteilt cdn.polyfill.io aktiv sch\u00e4dlichen Code. Der Schurkenkrieger hat anscheinend die HTTP-Header manipuliert, um den Code nur auf bestimmten mobilen Ger\u00e4ten zu aktivieren. Das ist wie ein Schurke mit einer unsichtbaren Tarnkappe – man sieht ihn nicht, aber er ist da und richtet Schaden an.<\/p>\n
Aber halt, es gibt noch mehr! Der Anbieter f\u00fcr Sicherheitsscanner, Sansec, hat ebenfalls vor der Supply-Chain-Attacke mit Polyfills gewarnt. Sogar Google blockiert bereits Google-Ads von Websites, die Polyfill.io verwenden. Das ist so, als w\u00fcrde man den Schurken in einen K\u00e4fig sperren, bevor er \u00fcberhaupt eine Chance hat, seine b\u00f6sen Pl\u00e4ne umzusetzen.<\/p>\n
Nun, liebe Webentwickler und Website-Besitzer, es ist h\u00f6chste Zeit, eure Abh\u00e4ngigkeiten von polyfill.io zu entfernen. Der Schurkenkrieger mag zwar gewitzt sein, aber wir sind schlau genug, um ihm ein Schnippchen zu schlagen. Also, auf geht’s, lasst uns unsere Websites von diesem Schurken befreien und die Welt wieder mit lustigen Katzenvideos f\u00fcllen!<\/p>\n
Schlagw\u00f6rter: Fastly + CDN + cdn.polyfill.io<\/p>\n","protected":false},"excerpt":{"rendered":"
Es scheint, als h\u00e4tte der Schurkenkrieger der Cyberwelt wieder zugeschlagen! Dieses Mal hat er es auf Websites abgesehen, die das Content Delivery Network (CDN) cdn.polyfill.io nutzen. Aber was ist Polyfill \u00fcberhaupt? Na, das ist so etwas wie der Superheld unter den Webentwicklern. Dieses Tool erm\u00f6glicht es, Inhalte auf \u00e4lteren Browsern...<\/p>\n","protected":false},"author":4,"featured_media":8967,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8968","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=8968"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8968\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/8967"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=8968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=8968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=8968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}