▲GN⁺ 2024-06-26 | parent | ★ favorite | on: Polyfill JS에 대한 공급망 공격, 10만 개 이상의 사이트가 영향 받음(sansec.io)Hacker News 의견 공개 CDN 사용의 위험성: 공개 CDN을 사용하면 모바일 기기에 악성코드가 주입될 수 있음. 이를 줄이기 위해 SRI(Subresource Integrity)를 사용할 수 있지만, 가장 좋은 해결책은 CDN 서비스를 통해 직접 호스팅하는 것임. 게임 이론적 관점: 오픈 소스 소프트웨어 유지보수는 보상 없이 많은 사이트를 지원해야 하며, 이는 결국 보안 문제를 야기할 수 있음. 워싱턴 포스트와 폭스 뉴스의 외부 콘텐츠: 두 웹사이트 모두 많은 외부 콘텐츠를 포함하고 있으며, 이는 공격 대상이 될 수 있음. 클라우드플레어의 예측: 클라우드플레어는 이미 이러한 문제를 예측하고, 이를 줄이기 위한 솔루션을 제공함. 폴리필 서비스의 창시자 의견: 폴리필 서비스 프로젝트를 만들었지만 도메인 소유권은 없었으며, 현재 도메인은 악성코드를 주입하고 있음. 즉시 사용 중지 권고. 예상된 문제: 4개월 전부터 예상된 문제였으며, 더 많은 사람들이 이를 인지하고 대처했어야 했음. 스포츠 도박 사이트로 리디렉션: 사용자가 원하지 않는 사이트로 리디렉션되는 경우가 있으며, 이는 일부 사용자에게 효과적일 수 있음. SRI 언급 부족: 기사에서 SRI에 대한 언급이 없다는 점이 놀라움. SRI는 저비용 고효율의 해결책임. 개발자와의 대화: 많은 개발자들이 CDN 하이재킹에 대해 무관심하며, 이는 보안 문제를 야기할 수 있음. 자체 호스팅 권장: 항상 의존성을 직접 호스팅하는 것이 좋으며, 이는 사용자 프라이버시 보호에도 도움됨.
Hacker News 의견
공개 CDN 사용의 위험성: 공개 CDN을 사용하면 모바일 기기에 악성코드가 주입될 수 있음. 이를 줄이기 위해 SRI(Subresource Integrity)를 사용할 수 있지만, 가장 좋은 해결책은 CDN 서비스를 통해 직접 호스팅하는 것임.
게임 이론적 관점: 오픈 소스 소프트웨어 유지보수는 보상 없이 많은 사이트를 지원해야 하며, 이는 결국 보안 문제를 야기할 수 있음.
워싱턴 포스트와 폭스 뉴스의 외부 콘텐츠: 두 웹사이트 모두 많은 외부 콘텐츠를 포함하고 있으며, 이는 공격 대상이 될 수 있음.
클라우드플레어의 예측: 클라우드플레어는 이미 이러한 문제를 예측하고, 이를 줄이기 위한 솔루션을 제공함.
폴리필 서비스의 창시자 의견: 폴리필 서비스 프로젝트를 만들었지만 도메인 소유권은 없었으며, 현재 도메인은 악성코드를 주입하고 있음. 즉시 사용 중지 권고.
예상된 문제: 4개월 전부터 예상된 문제였으며, 더 많은 사람들이 이를 인지하고 대처했어야 했음.
스포츠 도박 사이트로 리디렉션: 사용자가 원하지 않는 사이트로 리디렉션되는 경우가 있으며, 이는 일부 사용자에게 효과적일 수 있음.
SRI 언급 부족: 기사에서 SRI에 대한 언급이 없다는 점이 놀라움. SRI는 저비용 고효율의 해결책임.
개발자와의 대화: 많은 개발자들이 CDN 하이재킹에 대해 무관심하며, 이는 보안 문제를 야기할 수 있음.
자체 호스팅 권장: 항상 의존성을 직접 호스팅하는 것이 좋으며, 이는 사용자 프라이버시 보호에도 도움됨.