logo

Grave violazione di sicurezza nel progetto Polyfill.io: oltre 100.000 siti web compromessi

Recentemente è stato scoperto un grave attacco alla supply chain che ha coinvolto il servizio Polyfill.io, utilizzato da migliaia di siti web per garantire compatibilità con i browser più vecchi. L’attacco ha colpito oltre 100.000 siti, portando a preoccupazioni significative riguardo la sicurezza online e la fiducia nelle librerie di terze parti.

La Violazione di Polyfill.io

Polyfill.io fornisce “polyfills”, ossia porzioni di codice JavaScript che implementano funzionalità moderne nei browser più datati. Questo servizio è stato compromesso dopo che la gestione del dominio è passata alla società cinese Funnull nel febbraio 2024. Poco dopo, il codice distribuito attraverso Polyfill.io ha iniziato a contenere script dannosi, mirati principalmente a dispositivi mobili, che reindirizzavano gli utenti verso siti di scommesse sportive e contenuti per adulti​​.

La Risposta della Comunità Tecnologica

L’attacco ha sollevato immediate preoccupazioni tra gli esperti di sicurezza e i fornitori di infrastrutture web. Cloudflare e Fastly hanno rapidamente implementato versioni sicure del servizio Polyfill per mitigare i rischi. Inoltre, Google ha iniziato ad avvisare i propri inserzionisti riguardo i potenziali rischi legati ai siti che caricavano codice da Polyfill.io, bloccando gli annunci su questi siti compromessi​.

Raccomandazioni per i Webmaster

Gli esperti di sicurezza raccomandano vivamente di rimuovere immediatamente ogni riferimento a Polyfill.io dai propri siti web. Oltre a questo, è suggerito di adottare misure di sicurezza come:

  1. Implementare una Content Security Policy (CSP): per limitare le fonti da cui possono essere caricati gli script.
  2. Utilizzare Subresource Integrity (SRI): per verificare che le risorse scaricate non siano state modificate.
  3. Monitorare Regolarmente le Dipendenze: effettuare audit di sicurezza periodici per individuare eventuali comportamenti anomali​​.

L’incidente di Polyfill.io è un chiaro esempio dei rischi associati all’uso di librerie di terze parti e sottolinea l’importanza di adottare pratiche di sicurezza robuste per proteggere la propria infrastruttura web. Le aziende devono rimanere vigili, aggiornare regolarmente le proprie dipendenze e seguire le best practice per la sicurezza.

Altro da bit Time

img
bit Time Software

Prodotti Embarcadero

Scopri di più
img
ITDevCon

Uno degli eventi più importanti nella comunità tecnologica Delphi

Scopri di più
img
bit Time Professionals

Sviluppo SoftwareFormazioneConsulenza

Scopri di più
img
Delphi Studio

Il nostro HQ in Spagna

Scopri di più

Utilizziamo i cookie per migliorare la tua esperienza di navigazione. Continuando, accetti il nostro utilizzo dei cookie. Per maggiori informazioni, consulta la nostra Privacy Policy e la Cookies Policy