Der bei Webentwicklern weit verbreitete Dienst Polyfill.io verursacht seit der jüngsten Übernahme durch das in China ansässige CDN-Unternehmen „Funnull“ schwerwiegende Sicherheits- und Stabilitätsprobleme. Polyfill.io wurde ursprünglich vom Web-Team der Financial Times entwickelt, ging später in die Verwaltung der Community über und wurde zuletzt an ein chinesisches CDN-Unternehmen verkauft.
Auf Twitter äußerte der ursprüngliche Gründer von Polyfill.io, Andrew Betts, Bedenken hinsichtlich dieser Übernahme. Nach der Übernahme wurde die Domain von Polyfill.io auf in China basierte Server umgezogen, und die ausgelieferten Dateien begannen Probleme zu verursachen. Weitere Details dazu finden sich auf der GitHub-Issue-Seite (https://github.com/polyfillpolyfill/polyfill-service/issues/2834).
Funnull behauptet, in den USA tätig zu sein, doch da auf der Website überwiegend vereinfachtes Chinesisch verwendet wird, werden Zweifel an dieser Behauptung laut. Zudem ist Funnull zusätzlich umstritten, weil das Unternehmen in der Vergangenheit Dienste für die Wett- und Pornoindustrie angeboten hat.
Seit dieser Übernahme ist der Polyfill.io-Dienst extrem instabil geworden, und es werden fortlaufend verschiedene Probleme gemeldet (polyfillpolyfill/polyfill-service#2835, polyfillpolyfill/polyfill-service#2838, alist-org/alist#6100). Als Reaktion darauf haben Fastly und Cloudflare begonnen, eigene Instanzen bereitzustellen, die den Polyfill.io-Dienst ersetzen können.
Fastly hat im Rahmen seines kostenlosen Fast-Forward-Programms die Domain https://polyfill-fastly.io/ eingerichtet, um Nutzern den Ausstieg von Polyfill.io zu erleichtern. Ob diese Domain jedoch eine langfristige Lösung sein kann, ist weiterhin ungewiss.
Angesichts dieser Situation sollten Webentwickler statt Polyfill.io besser nach anderen vertrauenswürdigen Quellen suchen. Denn wegen der neuen Betriebsweise von Polyfill.io und der mangelnden Transparenz werden weiterhin Sicherheits- und Stabilitätsbedenken geäußert.
1 Kommentare
https://web.archive.org/web/20240229113710/…
https://web.archive.org/web/20240414034006/…
https://web.archive.org/web/20240227105037/…
Es scheint, dass alle verlinkten Issues gelöscht wurden.
https://github.com/alist-org/alist/issues/6100
Wenn man sich Issue 6100 ansieht, scheint das Problem zu sein, dass ein Polyfill angewendet wird, obwohl in der jeweiligen Situation gar keines nötig ist (vermutlich wurden die Cache-Einstellungen eher schlampig gesetzt).
https://x.com/triblondon/status/1761852117579427975
Gründer Andrew Betts sagt, dass Polyfills inzwischen nicht mehr nötig seien. Abgesehen von der Unterstützung alter Browser gebe es zwischen Browsern praktisch kaum noch Funktionsunterschiede, und selbst wenn es sie gebe, ließen sich viele davon nicht einfach mit einem einzigen Skript ausgleichen.