spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Mentre la licenza non pone vincoli in questo senso, questo rilascio entra nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no.
se le cose stanno come l'articolo che hai citato sembrerebbe eche la
versione aggiornata abbia rimosso una parte di codice che agiva in
base all'IP della macchina dove veniva eseguito, funzionando
deliberatamente "male" in quei casi. Quindi il rilascio fa esattamente
il contrario di quel che dici tu, ossia permette al pacchietto di
comportarsi correttamente indipendentemente da chi lo esegue.
Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto
un programma che esegue azioni diverse in base alla geolocalizzazione dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il
software rispetta le libertà fondamentali del software libero no?
...ma forse mi sfugge qualcosa.
Buongiorno lista,
spero di non scatenare inutili polemiche e discussioni circa quello
che sta succedendo, ma vorrei sapere il vostro punto di vista circa
questa vicenda:
https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a
tutti gli effetti una licenza di Software Libero.
Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali.
Mentre la licenza non pone vincoli in questo senso, questo rilascio
entra nel merito di dove viene eseguito il codice, comportandosi
diversamente a seconda
della geolocalizzazione dell'IP che lo usa, andando di fatto a
discriminare chi puo' usare il software e chi no.
Formalmente puo' anche non essere una violazione della licenza, ma e'
un pericoloso precedente IMHO e stride con la filosofia della Software
Libero che conosciamo.
Che ne pensate?
Buongiorno lista,
spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda:
https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a tutti gli effetti una licenza di Software Libero.
Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali.
Mentre la licenza non pone vincoli in questo senso, questo rilascio entra
nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda
della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no.
Formalmente puo' anche non essere una violazione della licenza, ma e' un pericoloso precedente IMHO e stride con la filosofia della Software Libero che conosciamo.
Che ne pensate?
Il 21/03/2022 09:48, Marco Bertorello ha scritto: > >> Formalmente puo' anche non essere una violazione della licenza, >Direi che quasi sicuramente non lo è: il codice rimane open e a > disposizione. > >> ma e' un pericoloso precedente IMHO e stride con la filosofia >> della Software Libero che conosciamo. > Su questo sono
trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".
Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.
Il 21/03/2022 10:07, Diego Zuccato ha scritto:
Il 21/03/2022 09:48, Marco Bertorello ha scritto:
Formalmente puo' anche non essere una violazione della licenza,
Direi che quasi sicuramente non lo è: il codice rimane open e a disposizione.
ma e' un pericoloso precedente IMHO e stride con la filosofia
della Software Libero che conosciamo.
Su questo sono d'accordo.
Salve.
trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".
Qui c'è anche il codice incriminato:
https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370
Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con
la versione 11.0.0 e successive.
Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 297 |
Nodes: | 16 (2 / 14) |
Uptime: | 01:05:29 |
Calls: | 6,666 |
Calls today: | 4 |
Files: | 12,212 |
Messages: | 5,335,472 |