CDN обслуживает вредоносное ПО - 100 000 пользователей Polyfil в опасности

Когда-то, еще до того, как современный JavaScript стал совсем взрослым, многие из нас прибегали к полифиллам, чтобы компенсировать отсутствие в браузерах поддержки самых последних функций. Похоже, что этот выбор нас подкосил. В этом ли проблема открытого исходного кода?

JavaScript - настолько адаптируемый язык, что оказалось возможным расширить оригинальный язык, чтобы включить в него новые возможности, которые были предложены для новых версий языка. Такие расширения обычно называют полифиллами, поскольку они заполняют трещины в поддержке браузеров до тех пор, пока новые функции не будут реализованы. Как указано в заголовке, по оценкам, более 100 000 веб-сайтов все еще используют polyfill.js, несмотря на то, что большинство браузеров подхватили большинство последних стандартов.

Проблема заключается в том, что этот проект с открытым исходным кодом больше не заслуживает доверия. Первоначальный сопровождающий, Эндрю Беттс, похоже, не имеет к нему никакого отношения.

В связи с этим возникает вопрос о том, кому принадлежал домен и как он управлялся в рамках проекта. Я не могу себе представить, ну то есть могу, но только если я не обращал особого внимания, что кто-то другой зарегистрирует домен и будет обслуживать мой проект с открытым исходным кодом. Доменное имя использовалось для создания сети доставки контента (CDN), которая обслуживала polyfill на всех сайтах, не размещавших код локально.

Продажи доменного имени было бы достаточно, чтобы скомпрометировать программное обеспечение, но в дополнение к этому репозиторий GitHub был продан той же компании. Похоже, что продать репозиторий так же просто, как изменить учетные данные владельца.

Похоже, что и Джейк Чепмен, и первоначальный создатель Эндрю Беттс работают в Fastly, и это странно, учитывая, что Беттс говорит не использовать его, а Чепмен продает его.

С доменным именем и репозиторием в руках коммерческой организации возможно практически все, кроме как сделать существующий код закрытым.

Учитывая, что компания базируется в Китае, причин для беспокойства может быть еще больше. Вскоре после поглощения компания Sansec, занимающаяся вопросами безопасности, сообщила, что CDN обслуживает вредоносное ПО, перенаправляющее пользователей на другие сайты, например, на сайт спортивных ставок. Компания также сообщила, что вредоносная программа очень пуглива и скрывается от веб-аналитиков и следователей, не предоставляя свою полезную нагрузку каждый раз.

Также утверждается, что репозиторий подвергается цензуре, так как несколько сообщений, описывающих ситуацию с вредоносной программой, были удалены, хотя многие недавние сообщения, похоже, остались. Кроме того, вскоре после появления статьи Sansec сообщила о DOS-атаке.

Как вы можете себе представить, люди пожаловались в GitHub и даже предложили удалить репозиторий, но на момент написания статьи ничего не произошло, и я не могу сказать, что реакция GitHub впечатляет. Более впечатляющим является то, что Fastly и Cloudflare создали надежные альтернативные CDN. Google также начал блокировать рекламу на сайтах, использующих polyfill.io.

Самое простое решение этой проблемы - переключить URL на CDN Cloudflare. Я выбрал Cloudflare, потому что он никак не связан с polyfill.io. Это просто быстрое решение перед полным удалением polyfill, так как современные браузеры в нем не нуждаются, а их сейчас большинство.

Весь этот инцидент вызывает некоторые вопросы.

Не существует правил продажи репозиториев, а, возможно, они должны быть. В конце концов, в живописи существует закон Droit de Suite, который означает, что оригинальный художник получает долю в любых больших будущих прибылях от продаж. Возможно, нам нужен такой же закон, но с элементом возможности остановить продажу менее надежной компании.

Это также поднимает вопрос об использовании CDN. Заманчиво сделать вывод, что локальный хостинг - лучший и самый безопасный вариант, но это не учитывает менталитет "установил и забыл". Хорошая CDN будет предоставлять самые свежие версии, если это то, что вам нужно, и убедится, что копия не содержит вредоносных программ. Я думаю, что правило заключается в использовании CDN, которая слишком велика, чтобы нуждаться в обслуживании вредоносных программ, и я полагаю, что это означает такие компании, как Google и Cloudflare.

Является ли это специфической проблемой открытого исходного кода?

Можно подумать, что да. Это следствие того, что неоплачиваемые менеджеры устают от своей роли груши для битья пользователей и в конце концов сдаются и, возможно, даже продаются тому, кто больше заплатит. Однако коммерческое программное обеспечение с такой же вероятностью будет продано тому, кто предложит наибольшую цену, а небольшие, менее ценные продукты могут быть легко куплены плохим актером. Так что это не совсем проблема открытого исходного кода.