Le service Polyfill.io, largement utilisé par les développeurs web, connaît actuellement de graves problèmes de sécurité et de stabilité depuis son récent rachat par l’entreprise de CDN chinoise « Funnull ». Polyfill.io a d’abord été développé par l’équipe web du Financial Times, avant de passer sous gestion communautaire, puis d’être récemment vendu à une entreprise chinoise de CDN.
Sur Twitter, Andrew Betts, le fondateur originel de Polyfill.io, a exprimé ses inquiétudes au sujet de ce rachat. Après l’acquisition, le domaine de Polyfill.io a été déplacé vers des serveurs basés en Chine, et les fichiers renvoyés ont commencé à présenter des problèmes. Plus de détails sont disponibles sur la page d’issue GitHub (https://github.com/polyfillpolyfill/polyfill-service/issues/2834).
Funnull affirme opérer depuis les États-Unis, mais cette déclaration est mise en doute, notamment parce que son site web utilise principalement le chinois simplifié. De plus, Funnull a déjà fourni des services à des acteurs des secteurs des paris et de la pornographie, ce qui alimente encore davantage la controverse.
Depuis ce rachat, le service Polyfill.io est devenu extrêmement instable, et de nombreux problèmes continuent d’être signalés (polyfillpolyfill/polyfill-service#2835, polyfillpolyfill/polyfill-service#2838, alist-org/alist#6100). En réponse, Fastly et Cloudflare ont commencé à proposer leurs propres instances pour remplacer le service Polyfill.io.
Dans le cadre de son programme Fast Forward, qui fournit gratuitement ce service, Fastly a mis en place le domaine https://polyfill-fastly.io/ afin d’aider les utilisateurs à s’éloigner de Polyfill.io. Toutefois, on ne sait pas encore clairement si ce domaine pourra constituer une solution de long terme.
Dans ce contexte, il est préférable pour les développeurs web d’envisager d’autres sources fiables au lieu d’utiliser Polyfill.io. En effet, le nouveau mode d’exploitation de Polyfill.io et son manque de transparence continuent de soulever des problèmes de sécurité et de stabilité.
1 commentaires
https://web.archive.org/web/20240229113710/…
https://web.archive.org/web/20240414034006/…
https://web.archive.org/web/20240227105037/…
Il semble que toutes les issues liées aient été supprimées.
https://github.com/alist-org/alist/issues/6100
En regardant l’issue 6100, on dirait que le problème est qu’un polyfill est appliqué alors qu’il n’est pas nécessaire (ils ont probablement configuré le cache un peu à la va-vite).
https://x.com/triblondon/status/1761852117579427975
Le fondateur Andrew Betts affirme qu’il n’est désormais plus nécessaire d’utiliser polyfill. En dehors de la prise en charge des anciens navigateurs, il explique qu’il n’y a pratiquement plus de différences de fonctionnalités entre navigateurs et que, même lorsqu’il y en a, dans beaucoup de cas elles ne peuvent pas être comblées avec un seul script.