Предупреждение Polyfill от Google; Затронуты PHPMailer и PHP dotenv
Я получил предупреждение от Google о том, что мой веб-сайт использует платформу Polyfill на Картах Google: «Заголовок уведомления: [Предупреждение безопасности]: Проблема Polyfill.io для пользователей платформы Google Maps». Пользователям посоветовали удалить Polyfill.io, см. ссылку: https://www.kaspersky.com/blog/polyfill-io-service-supply-chain-attacks/51635/
Просмотрев свою кодовую базу, я нашел другие места, где используется платформа Polyfill, например PHPMailer (https://github.com/PHPMailer/PHPMailer , щелкните файл композитора.json) и PHP dotenv ( https://github.com/vlucas/phpdotenv, нажмите на файл композитора.json).
Подробнее о том, почему рекомендуется удалить Polyfill, смотрите по ссылке: https://github.com/formatjs/formatjs/issues/4363
Я только что связался с командой PHP dotenv и все еще жду ответа. Возможно, я нашел хорошую замену, просто называемую dotenv, см. ссылку: https://github.com/symfony/dotenv. Я не могу поклясться, что это решение, так как у меня еще не было возможности его попробовать.
Проблема в том, что я не нашел хорошей альтернативы PHPMailer.
Кто-нибудь еще сталкивается с той же проблемой? Есть еще решения?
PS: Насколько это серьезно? Короче говоря, кажется, что мои посетители могут быть перенаправлены на сомнительные сайты ставок и/или без колебаний отказаться от данных, верно...?
Обновлено: Извините, если я напугал других новичков в PHP. Вот еще один ответ о переполнении стека по этой проблеме: [Предупреждение безопасности]: проблема Polyfill.io для пользователей платформы Google Maps в Angular
Пожалуйста, смотрите ответ Артура Баучера ниже!
Я удалил все ссылки, однако опасаюсь, что это повлияет на посетителей, использующих сайт, который я разрабатываю. Это так же просто, как просто удалить все ссылки в файлах композитора.json?
"где используется фреймворк Polyfill, например PHPMailer" - вы уверены? Polyfill.io — это JS, PHPMailer — нет.
Думаю да, но я не эксперт. К счастью, интернет-магазины, которые я обслуживаю, не пострадали. Лучше всего будет, если вы безопасно протестируете его в своей среде разработки, чтобы разобраться во всем правильно.
Я ни в чем не уверен, поэтому и спрашиваю, но Google и Касперский (см. ссылки выше) вроде вполне уверены
Почему вы так думаете? Пожалуйста, добавьте все подробности в свой вопрос, отредактировав его.
О каких еще деталях вы думаете, пожалуйста? Рад добавить больше, если смогу!
Поделитесь, где Google или Касперский заявляют, что PHPMailer или vlucas/dotenv уязвимы. Оба пакета широко используются, и если бы они были уязвимы, вы бы нашли проблемы в их системе отслеживания ошибок или в новых выпусках с исправлениями, связанными с данной проблемой.
Хорошо, я понимаю, что вы имеете в виду. Нет, я не видел никаких предупреждений по этому поводу на их собственных веб-сайтах, однако, когда вы новичок в PHP, это пугает... Я оставлю этот вопрос здесь (риск отрицательных голосов), на случай, если кто-то еще новичок в PHP столкнется с те же проблемы
Дополнительный вопрос: тогда почему GMaps не предоставляет никакого другого решения, кроме предложения мне удалить все ссылки на Polyfill.io? Неужели они не могли просто посоветовать обновиться как можно скорее? Или я как-то пропустил эту информацию?
Предупреждение Google пыталось заставить вас сделать две вещи: обновить или удалить библиотеки, содержащие ссылки на Polyfill.io, и удалить все (если таковые имеются) ссылки на Polyfill.io в коде, который вы написали самостоятельно.
«когда вы новичок в PHP, это пугает» — будьте уверены: в этом случае PHP вообще не задействован, поскольку это чистая проблема FE.
Ответы 1
Кажется, существует некоторая путаница между веб-сайтом polyfill.io и концепцией полифила. Полифил — это просто библиотека, которая добавляет обратную совместимость к функциям современного языка или библиотеки. Полифиллы, используемые в библиотеках PHP, на которые вы ссылаетесь, не предоставляются полифиллом.io, поэтому проблема не затрагивает их.
Хорошо, это имеет смысл, учитывая то, что я читал здесь и там. Просто страшно пытаться понять это, когда вы относительно новичок в PHP. Огромное спасибо! (Я отмечу ваш ответ как правильный, если не появится противоречивой информации...)
Да, это правильно.
Вам следует заменить его как можно скорее. Ему присвоен рейтинг 7,2 из 10, который классифицируется как высокий риск. opencve.io/cve/CVE-2024-38526