Добавить новость
Ru24.net News‑life.pro News‑life.org 29ru.net 123ru.market Sportsweek.org Ru24.pro
123ru.net
Smi24.net

В Красногорске прошла обкатка лифтов с дизайном от Артемия Лебедева

Россияне набирают вес

«Спартак» — «Салават Юлаев». Прямая трансляция матча КХЛ

Конное представление пройдет в Щелкове 19 октября

News in English
Автомобили Haval в Trade-in у официального дилера в Санкт-Петербурге
Crash on Route 67 in Amsterdam closes all lanes
Joe Root’s amazing life, from meeting wife Carrie at a Headingley bar to driving a £180k Range Rover and a love of golf
Three tips cheap and fun tips for hosting an autumn games night
Butcher shop serving fresh-cut pork and beef opens inside North Market
Bio-Oil Skincare Body Oil, Now 19% Off
I was paralyzed from the chest down by a school shooter at 15. I chose to forgive him.


Новости сегодня

Новости от TheMoneytizer

How VIP Mitigated the Impact of Polyfill.io Malware

Vip.wordpress.com 

How VIP Mitigated the Impact of Polyfill.io Malware

When a widely-used, free CDN used by up to 4% of the web changes hands and begins serving malicious code to visitors, it’s a bad day.

Earlier this year, the GitHub account and domain for Polyfill.js / polyfill.io were transferred to a Chinese company named Funnull and the CDN service has since been discovered to be serving malware to unsuspecting visitors.

At WordPress VIP, the security of our customers and visitors to our platform is a top concern. So when we learned of Sansec’s discovery of malware served by polyfill.io, our security team sprang into action to mitigate the risk to applications on the VIP platform.

About Polyfill.js

Polyfill.js is a widely used JavaScript library that smooths over differences between older browsers and their modern counterparts. It does this by adding polyfills for newer APIs that may be missing in outdated browsers and devices. 

Polyfill.io arose as a CDN to calculate and serve this JavaScript. When embedded on a website, the polyfill.io service detects which browser the visitor is running and serves them a JS file containing the shims necessary to match functionality provided by modern browsers.

In today’s landscape, the need for these shims is very low. All major browsers automatically update to the latest version, and in general they all implement the same standard APIs (with some variation as new standards are proposed and stabilized). All this makes shims like Polyfill.js far less useful, if at all.

Detection, action, and remedy

After Sansec discovered the polyfill.io CDN was being used to serve malicious payloads to unsuspecting visitors, WordPress VIP immediately began assessing the impact to our customers and identifying mitigations.

First, we learned that of those customers leveraging the polyfill.io service, implementations were split 50/50 between using the WordPress Asset Enqueue APIs (like wp_enqueue_script() and wp_register_script()) and hardcoded references. 

WordPress’s robust hooks and filters system allowed us to develop a platform-wide patch that detects enqueued scripts loading from cdn.polyfill.io or polyfill.io and dequeues them.

function vip_disallow_polyfill_io_script() {
    global $wp_scripts;
    $polyfill_host = 'polyfill.io';
    foreach ( $wp_scripts->registered as $handle => $script ) {
        if ( isset( $script->src ) && false === str_contains( $script->src, $polyfill_host ) ) {
            continue;
        }
        $parsed_url = wp_parse_url( $script->src );
        if ( isset( $parsed_url['host'] ) &&
        ( $parsed_url['host'] === $polyfill_host || $parsed_url['host'] === 'cdn.' . $polyfill_host ) ) {
            wp_dequeue_script( $handle );
        }
    }
}
add_action( 'wp_print_scripts', 'vip_disallow_polyfill_io_script', PHP_INT_MAX );

We chose to dequeue the script across-the-board to ensure the safety of our customers and visitors. 

We also considered automatically rewriting the urls to use either the Cloudflare or Fastly replacement CDNs. We opted not to do this because we wanted to leave the decision of adding a new 3rd-party dependency up to customers and there was a low risk of visitor impact, as most browsers no longer need Polyfill.js anyway.

A final word

The Polyfill.js case is a stark reminder about the dangers of supply-chain attacks on the modern web. Third-party dependencies and vendors must be carefully chosen and reviewed on a regular basis. What’s safe today can be tomorrow’s attack-vector and organizations must remain vigilant to limit supply-chain risks.

For more information on supply-chain attack mitigation, we recommend the following resources: Defending Against Software Supply Chain Attacks from CISA and NIST
Supply Chain Attacks: Impact, Examples, and 6 Preventive Measures from HackerOne.

Author

Nick Daugherty

Staff Engineer, WordPress VIP

Читайте на 123ru.net

Интернет

Intel представила настольные процессоры Core Ultra 200S — они медленнее предшественников в играх

Настроение

Стойкий солдатик.

Жизнь

Определены профессионалы в сервисных локомотивных депо Черноземья

Авто Новости

Ученые СПбГУ и СПбАУ увеличили эффективность полупроводниковых наноструктур для оптоэлектроники

Новости 24/7 DirectAdvert - доход для вашего сайта
Всё самое интересное в российских СМИ на этот час Сегодня в зарубежных СМИ



Частные объявления в Вашем городе, в Вашем регионе и в России



Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. "123 Новости" — абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Smi24.net — облегчённая версия старейшего обозревателя новостей 123ru.net. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city
123ru.net

Кинопоказ в ТРЦ «Нора»: фильм «Чудеса случаются»

В Солнечногоске расчистят 10 прудов в 2024 г

Александр Цыбульский провел встречу с активистами Движения Первых Архангельской области

«Спартак» — «Салават Юлаев». Прямая трансляция матча КХЛ

Музыкальные новости
Bigpot.news

ПМГФ-2024: Газпром запустил новые объекты газоснабжения и газификации потребителей в 25 регионах России

Песков заявил о сохранении доверительных отношений между странами СНГ

Путин: РФ и Белоруссия могут дополнять друг друга в промышленных проектах

Соболенко повторила достижение Шараповой

Новости России
29ru.net

Минимущества Подмосковья напомнило о виртуальных помощниках по земельным вопросам

Конное представление пройдет в Щелкове 19 октября

В Подмосковье зафиксировали около 11,3 тысячи случаев укусов клещей с начала сезона

Александр Цыбульский провел встречу с активистами Движения Первых Архангельской области

Экология в России и мире
Life24.pro

Актриса Катерина Ковальчук пришла на Московскую Неделю моды без макияжа

Карди Би опровергла слухи о новой пластике словами «подумайте своими мозгами»

Раскрутка Сайта. Раскрутка сайта Москва. SEO раскрутка сайта. Заказать раскрутку сайта. Раскрутка сайта ru.

Определены организации-финалисты XI Всероссийского конкурса «Лучшая инклюзивная школа России — 2024»

Спорт в России и мире
News.tennis

Вероника Кудерметова вышла во второй круг турнира WTA 1000 в Ухане

Рахимова победила Учижиму и вышла во второй круг турнира WTA в Ухане

«Стали хуже после коронавируса»: Медведев неприличным образом привлёк внимание к проблеме с мячами

Елену Рыбакину официально обошли в топ-5 рейтинга WTA

Moscow.media
News24.pro

Беляевскую премию вручили за развитие ИТ и искусственного интеллекта

Раскрутка Сайта. Раскрутка сайта Москва. SEO раскрутка сайта. Заказать раскрутку сайта. Раскрутка сайта ru.

Подтверждена совместимость офисного пакета AlterOffice с операционной системой «ОСнова»

На строительство и реконструкцию трассы М-7 Волга в Татарстане и Башкирии выделили 9 млрд рублей



Life24.pro
Выставка «Павка Корчагин — герой Поднебесной» Как понять, какое у тебя давление, без тонометра Выиграй поездку на Like Party «ДЕВИЧНИК» Как научиться спокойно на все реагировать: метод йогов

News-life
Грузовик перевернулся на юго-востоке Москвы в результате ДТП станция метро Кантемировская Москва XI Всероссийский конкурс «Лучшая инклюзивная школа России-2024» Массаж и лечебная физкультура: показания и противопоказания







Топ новостей на этот час

Rss.plus
Все новости 123ru.net сегодня






Smi24.net

Россияне набирают вес

В Госдуме признали нехватку крематориев в Екатеринбурге и Москве

Президент официально освободил Антонова с поста посла России в США

В Подмосковье зафиксировали около 11,3 тысячи случаев укусов клещей с начала сезона


Спонсорский контент

Все новости smi24.net