全球主机交流论坛

标题: 在用alist的朋友记得后台里面删掉那个供应链投毒的polyfill [打印本页]

作者: terryxu 时间: 2024-7-18 21:56
标题: 在用alist的朋友记得后台里面删掉那个供应链投毒的polyfill
用户后台登录 -》设置 -》全局 -》自定义头部，把polyfill的链接删了就行
script src="https://polyfill.io/v3/polyfill.min.js"

看到官方github 已经修过了，但是版本还没发新的，暂时把链接删了就行

https://github.com/alist-org/alist/commit/33be44adad6a833cdf5df749d21da303e48585a7

作者: DanielSSLYD 时间: 2024-7-18 22:08
有这个会怎样？

作者: acg88 时间: 2024-7-18 22:10
谢谢，已去掉

作者: larry 时间: 2024-7-18 22:14

DanielSSLYD 发表于 2024-7-18 22:08
有这个会怎样？

你的用户访问会随机跳转到黄赌毒网站.

作者: zixi 时间: 2024-7-18 22:20

DanielSSLYD 发表于 2024-7-18 22:08
有这个会怎样？

被跳转呗，至于跳哪就不知道了

作者: 随波逐流 时间: 2024-7-18 22:46
昨天刚装的

作者: 千牛 时间: 2024-7-18 22:48
之前好像就因为这个拉取慢，影像加载速度，我就已经删了这个了
主要就是拿来做浏览器兼容的，所以删了也没事

作者: 宋喆 时间: 2024-7-18 22:50
一开始就删了

作者: bidg 时间: 2024-7-18 23:03
咦，自定义里面是空的，是不是就不管它？

作者: iyzx 时间: 2024-7-18 23:18
没事，pollyfill.io域名已经被clientHold了，在这里感谢下老外

作者: caddy 时间: 2024-7-18 23:28

iyzx 发表于 2024-7-18 23:18
没事，pollyfill.io域名已经被clientHold了，在这里感谢下老外

关键时候还得洋大人出手啊

其它呢，有没有办法也举报给洋大人来处理？

作者: iyzx 时间: 2024-7-18 23:36

caddy 发表于 2024-7-18 23:28
关键时候还得洋大人出手啊
其它呢，有没有办法也举报给洋大人来处理？
...

这个是老外的项目，所以关注的人多

，不过staticfile和bootcdn的域名也已经被标记了。投毒事件在隔壁挺火，可以去瞅瞅

参考https://sansec.io/research/polyfill-supply-chain-attack

https://web.archive.org/web/20240229113710/https://github.com/polyfillpolyfill/polyfill-service/issues/2834

作者: caddy 时间: 2024-7-19 00:55

iyzx 发表于 2024-7-18 23:36
这个是老外的项目，所以关注的人多，不过staticfile和bootcdn的域名也已经被标记了。投毒事件在隔 ...

我以为紫田这货只搞了国内的项目

其实这手法就和以前，花钱把用户量足够多，又赚不到钱的Chrome 插件收买了，然后搞事情一样

作者: hhwxyhh 时间: 2024-7-19 08:49
对，网站拖慢就是它搞得，快换了它

作者: muyijiang 时间: 2024-7-19 09:21
已经替换成https://polyfill.alicdn.com

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)