ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

Cloudflare: ما هرگز به polyfill.io اجازه استفاده از نام خود را ندادیم

Cloudflare، ارائه‌دهنده اصلی خدمات شبکه تحویل محتوا (CDN)، امنیت ابری، و محافظت از DDoS هشدار داده است که استفاده از نام یا نشان‌واره خود را در وب‌سایت Polyfill.io، که اخیراً در حال تزریق بدافزار در موارد دیگر دستگیر شده است، مجاز نکرده است. بیش از 100000 وب سایت در یک حمله زنجیره تامین قابل توجه.
علاوه بر این، برای ایمن نگه داشتن اینترنت، Cloudflare به طور خودکار پیوندهای polyfill.io را با یک آینه ایمن در وب‌سایت‌هایی که از محافظت از Cloudflare (از جمله طرح‌های رایگان) استفاده می‌کنند، جایگزین می‌کند.
Cloudflare: «هشدار دیگر» Polyfill  قابل اعتماد نیست
Cloudflare از استفاده غیرمجاز Polyfill.io از نام و نشان‌واره آن انتقاد کرده است زیرا می‌تواند کاربران را گمراه کند که این وب‌سایت غیرقانونی توسط Cloudflare تأیید شده است.
رهبر امنیت ابری همچنین هشدار داد که این دلیل دیگری برای اعتماد نکردن به Polyfill.io است.

Polyfill.io حاوی پیام «محافظت امنیتی Cloudflare» است که ممکن است اشتباه تعبیر شود (BleepingComputer)
تیم Cloudflare در یک پست وبلاگی که دیروز منتشر شد نوشت: «برخلاف آنچه در وب‌سایت polyfill.io بیان شده است، Cloudflare هرگز سرویس polyfill.io را توصیه نکرده یا اجازه استفاده از نام Cloudflare را در وب‌سایت خود نداده است».
ما از آنها خواسته ایم که اظهارات نادرست را حذف کنند و آنها تاکنون به درخواست های ما توجهی نکرده اند.
این احتیاط به دنبال کشف حمله زنجیره تامین Polyfill.io است که بیش از 100000 وب سایت را هدف قرار داد.
در ماه فوریه، یک نهاد چینی به نام «Funnull» دامنه polyfill.io را خرید و کدهای مخرب را در اسکریپت‌های ارائه‌شده توسط CDN خود معرفی کرد.
همانطور که توسط محققان Sansec کشف شد، دامنه شروع به تزریق بدافزار به دستگاه‌های تلفن همراه کرد که از یک وب‌سایت کد جاسازی شده از cdn.polyfill[.]io بازدید می‌کردند.
دیروز، BleepingComputer مشاهده کرد که ورودی‌های DNS برای cdn.polyfill[.]io به طور مرموزی روی سرورهای Cloudflare تنظیم شده است، اما این نشانه قطعی از وجود حمله نیست زیرا مالکان دامنه (جدید) می‌توانند به راحتی DNS را به سرورهای مخرب برگردانند. .
علاوه بر این، کاملاً ممکن است که مالکان Polyfill.io مانند هر وب‌سایت دیگری از سرویس‌های حفاظتی DDoS Cloudflare استفاده کرده باشند، اما این به معنای تأیید دامنه توسط Cloudflare نیست.
BleepingComputer قبلاً با Cloudflare تماس گرفته بود تا ببیند آیا آنها در تغییر رکوردهای DNS نقش دارند یا خیر، اما پاسخی دریافت نکردند. از امروز، polyfill.io دیگر آنلاین نیست.
جایگزینی خودکار URL به صورت رایگان ارائه می‌شود
در 24 ساعت گذشته، Cloudflare یک سرویس بازنویسی خودکار URL را برای جایگزینی پیوندهای polyfill.io در وب‌سایت‌های مشتریان Cloudflare با راه‌اندازی CDN آینه ای ایمن توسط Cloudflare منتشر کرده است.
تیم Cloudflare در همین رابطه اعلام کرد: «ما در 24 ساعت گذشته یک سرویس خودکار بازنویسی URL جاوا اسکریپت را منتشر کرده‌ایم که هر پیوند به polyfill.io را که در وب‌سایتی که توسط Cloudflare پروکسی شده است را به پیوندی به mirror ما در زیر cdnjs بازنویسی می‌کند.» پست وبلاگ.
“این کار از شکستن عملکرد سایت جلوگیری می کند و در عین حال خطر حمله زنجیره تامین را کاهش می دهد.”
هر وب‌سایتی در طرح رایگان اکنون این ویژگی را به‌طور خودکار فعال می‌کند. وب‌سایت‌های موجود در هر طرح پولی می‌توانند با یک کلیک این ویژگی را روشن کنند.»

سرویس بازنویسی URL کتابخانه های جاوا اسکریپت ناامن Cloudflare (Cloudflare)
کاربران Cloudflare می‌توانند این تنظیم جدید را در قسمت Security ⇒ Settings در هر منطقه با استفاده از Cloudflare پیدا کنند.
برای کسانی که از Cloudflare استفاده نمی‌کنند، این شرکت هنوز هم پیشنهاد می‌کند هر گونه استفاده از polyfill.io را حذف کنند و راه‌حل جایگزینی را شناسایی کنند.
این شرکت می‌گوید: «در حالی که عملکرد جایگزینی خودکار اکثر موارد را مدیریت می‌کند، بهترین روش حذف polyfill.io از پروژه‌های خود و جایگزینی آن با یک آینه جایگزین امن مانند Cloudflare است، حتی اگر مشتری هستید».
می‌توانید این کار را با جستجو در مخازن کد خود برای نمونه‌هایی از polyfill.io و جایگزینی آن با cdnjs.cloudflare.com/polyfill/ (آینه Cloudflare) انجام دهید. این یک تغییر غیرقابل شکست است زیرا دو URL محتوای polyfill یکسانی را ارائه می‌کنند. همه صاحبان وب‌سایت، صرف‌نظر از وب‌سایتی که از Cloudflare استفاده می‌کنند، باید این کار را اکنون انجام دهند.»
یکی دیگر از شرکت‌های امنیت سایبری Leak Signal نیز یک وب‌سایت به نام Polykill.io ایجاد کرده است که به شما امکان می‌دهد سایت‌هایی را با استفاده از cdn.polyfill.io جستجو کنید و اطلاعاتی را درباره جابجایی به گزینه‌های جایگزین ارائه می‌دهد.

مطالب مشابه
نظرات بسته شده است.