Essa biblioteca JavaScript supre algumas lacunas de compatibilidade em sites modernos para navegadores antigos. Nem é mais aconselhada ou mesmo necessária, mas muitos sites ainda a utilizam.
O problema é que eles puxam a biblioteca pela CDN dela própria, uma prática popular e que abre brecha para ataques do tipo.
Foi o que aconteceu aqui. Uma empresa chinesa comprou o domínio e o repositório no GitHub da Polyfill e passou a injetar código malicioso pela URL de distribuição/CDN da biblioteca.
4 comentários
Inclusive nas elições americanas o site do Trump ficou a merce de um commit: https://www.popularmechanics.com/technology/security/a22457/simple-coding-mistake-donald-trumps-website/
Em projetos pequenos eu acabo utilizando a https://www.jsdelivr.com/ que funciona com hub de CDNs, mas eles fazem uma camada de cache permitindo trabalhar com versões especificas que não mudam.
Carregar uma biblioteca de uma CDN é uma boa pessoa recomendada inclusive para acelerar o carregamento de uma página.
Primeiro que bibliotecas muito usadas ficam cacheadas no navegar uma vez que as chances de vc já ter baixado essa mesma biblioteca a partir da mesma CDN em outro site é grande.
Segundo, que os navegadores tem um limite de 6 requests simultâneos para cada domínio. Como a biblioteca está num outro domínio (o dá CDN…) é possível paralelizar o carregamento da mesma com os outros assets necessários para o carregamento da página (CSS, imagens, JS, etc…).
Além disso, essa prática alivia a carga no servidor, pois é um arquivo a menos que o servidor web tem que servir. Isso pode fazer muita diferença em sites com muitos acessos.
Bom, agora vc sabe pq um desenvolvedor opta por usar uma CDN ao invés de copiar a mesma para o seu servidor.
Boa tarde, Kemel.
Por favor, me perdoe por corrigí-lo, mas os navegadores não compartilham mais cache entre domínios já há uns anos. O limite de downloads também não é mais tão pequeno.
Não é mais questão do browser e sim do tipo de conexão servida.
HTTP/1.1 é 1 conexão por solicitação, ou seja se tiver 100 solicitações para um domínio, apenas 6 solicitações serão processadas simultaneamente
HTTP/2 permite varias solicitações que podem ser agrupadas, então se manda 100 solicitações, idealmente, vai as 100 ao mesmo tempo
HTTP/3 é aka QUIC é semelhante ao HTTP/2
Hoje qualquer CDN ou servidor de fundo de quintal deve e vai entregar em HTTP/2