se le cose stanno come l'articolo che hai citato sembrerebbe eche la
versione aggiornata abbia rimosso una parte di codice che agiva in base
all'IP della macchina dove veniva eseguito, funzionando deliberatamente
"male" in quei casi. Quindi il rilascio fa esattamente il contrario di
quel che dici tu, ossia permette al pacchietto di comportarsi
correttamente indipendentemente da chi lo esegue.

On Mon, 21 Mar 2022, Marco Bertorello wrote:

spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: https://github.com/advisories/GHSA-97m3-w2cp-4xx6
Mentre la licenza non pone vincoli in questo senso, questo rilascio entra nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no.

--
Leonardo Boselli
Firenze, Toscana, Europa
http://i.trail.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Buongiorno lista,

spero di non scatenare inutili polemiche e discussioni circa quello che
sta succedendo, ma vorrei sapere il vostro punto di vista circa questa
vicenda:

https://github.com/advisories/GHSA-97m3-w2cp-4xx6

Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a
tutti gli effetti una licenza di Software Libero.

Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali.

Mentre la licenza non pone vincoli in questo senso, questo rilascio
entra nel merito di dove viene eseguito il codice, comportandosi
diversamente a seconda
della geolocalizzazione dell'IP che lo usa, andando di fatto a
discriminare chi puo' usare il software e chi no.

Formalmente puo' anche non essere una violazione della licenza, ma e' un pericoloso precedente IMHO e stride con la filosofia della Software
Libero che conosciamo.

Che ne pensate?

--
Marco Bertorello
https://www.marcobertorello.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/03/2022 09:59, Leonardo Boselli ha scritto:

se le cose stanno come l'articolo che hai citato sembrerebbe eche la
versione aggiornata abbia rimosso una parte di codice che agiva in
base all'IP della macchina dove veniva eseguito, funzionando
deliberatamente "male" in quei casi. Quindi il rilascio fa esattamente
il contrario di quel che dici tu, ossia permette al pacchietto di
comportarsi correttamente indipendentemente da chi lo esegue.

Certo, ma ovviamente mi riferivo al rilascio precedente, quello che
introduceva il comportamento doloso

--
Marco Bertorello
https://www.marcobertorello.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/03/2022 10:05, Piviul ha scritto:

Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto
un programma che esegue azioni diverse in base alla geolocalizzazione dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il
software rispetta le libertà fondamentali del software libero no?
...ma forse mi sfugge qualcosa.

No, hai capito perfettamnente, infatti dicevo che formalmente puo' non
essere una violazione (e in molti l'avete confermato), tuttavia e' un comportamento discriminatorio che lede il diritto di utilizzo di
chiunque per qualunque scopo.

Anche i software web (pre affero e gplv3) non violavano la licenza, ma
di fatto queste licenze sono nate proprio per coprire quei casi d'uso
dove formalmente la licenza era rispettata, tuttavia era permesso
privare gli utenti dell'accesso al software (e relativi diritti) che
andavano ad utilizzare.

Qualcuno che segue piu' da vicino FSF, sa se c'e' una discussione a
riguardo?

--
Marco Bertorello
https://www.marcobertorello.it

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/03/22 09:48, Marco Bertorello ha scritto:

Buongiorno lista,

spero di non scatenare inutili polemiche e discussioni circa quello
che sta succedendo, ma vorrei sapere il vostro punto di vista circa
questa vicenda:

https://github.com/advisories/GHSA-97m3-w2cp-4xx6

Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a
tutti gli effetti una licenza di Software Libero.

Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali.

Mentre la licenza non pone vincoli in questo senso, questo rilascio
entra nel merito di dove viene eseguito il codice, comportandosi
diversamente a seconda
della geolocalizzazione dell'IP che lo usa, andando di fatto a
discriminare chi puo' usare il software e chi no.

Formalmente puo' anche non essere una violazione della licenza, ma e'
un pericoloso precedente IMHO e stride con la filosofia della Software
Libero che conosciamo.

Che ne pensate?

Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto un programma che esegue azioni diverse in base alla geolocalizzazione
dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il
software rispetta le libertà fondamentali del software libero no? ...ma
forse mi sfugge qualcosa.

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Mon, Mar 21, 2022 at 09:48:12AM +0100, Marco Bertorello wrote:

Buongiorno lista,

spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda:

https://github.com/advisories/GHSA-97m3-w2cp-4xx6

Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a tutti gli effetti una licenza di Software Libero.

Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali.

Mentre la licenza non pone vincoli in questo senso, questo rilascio entra
nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda
della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no.

Formalmente puo' anche non essere una violazione della licenza, ma e' un pericoloso precedente IMHO e stride con la filosofia della Software Libero che conosciamo.

Che ne pensate?

...che non sembra(va) rispettare la licenza MIT:

[..]
"Permission is hereby granted, free of charge, to any person
obtaining a copy of this software and associated documentation
files (the "Software"), to deal in the Software without
restriction, including without limitation the rights to use,...
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
[..]

https://it.wikipedia.org/wiki/Licenza_MIT

se il programma si "disabilita" a seconda degli IP direi che il "diritto
di uso" non è rispettato...

IANAL of course...


--

Saluton,
Marco Ciampa

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Salve.

trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva arbitrariamente files dei pc connessi da determinati indirizzi IP con un
"heart emoji".

Qui c'è anche il codice incriminato:

https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370

Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con la versione 11.0.0 e successive.

Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.


Luciano Franchi





Il 21/03/2022 10:07, Diego Zuccato ha scritto:

Il 21/03/2022 09:48, Marco Bertorello ha scritto: > >> Formalmente puo' anche non essere una violazione della licenza, >

Direi che quasi sicuramente non lo è: il codice rimane open e a > disposizione. > >> ma e' un pericoloso precedente IMHO e stride con la filosofia >> della Software Libero che conosciamo. > Su questo sono
d'accordo. > > Inoltre getta ombre di sospetto su tutto il sw
libero/open (come se > certe cose non potessero capitare su sw closed...
ma ovviamente non > fa notizia perché più facilmente mascherabile da
bug). >


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
Salve.<br>
<br>
trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".<br>
<br>
Qui c'è anche il codice incriminato:<br>
<br>
<a class="moz-txt-link-freetext" href="https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370">https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370</a><br>
<br>
Il problema, secondo snyk.io, proseguirebbe, per altra via, anche
con la versione 11.0.0 e successive. <br>
<br>
Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.<br>
 <br>
<br>
Luciano Franchi<br>
<br>
<br>
<br>
<br>
<br>
Il 21/03/2022 10:07, Diego Zuccato ha scritto:<br>
<span style="white-space: pre-wrap; display: block; width: 98vw;">&gt; Il 21/03/2022 09:48, Marco Bertorello ha scritto:
&gt;
&gt;&gt; Formalmente puo' anche non essere una violazione della licenza,
&gt; Direi che quasi sicuramente non lo è: il codice rimane open e a
&gt; disposizione.
&gt;
&gt;&gt; ma e' un pericoloso precedente IMHO e stride con la filosofia &gt;&gt; della Software Libero che conosciamo.
&gt; Su questo sono d'accordo.
&gt;
&gt; Inoltre getta ombre di sospetto su tutto il sw libero/open (come se
&gt; certe cose non potessero capitare su sw closed... ma ovviamente non
&gt; fa notizia perché più facilmente mascherabile da bug).
&gt;
</span><br>
<br>
<br>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ciao,

Il 2022-03-21 11:25 franchi@modula.net ha scritto:

trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".

Se non ho capito male, gli IP cui infliggere le sovrascritture erano
quelli nel territorio di una stato attualmente in guerra. Chi lo ha
fatto ha lasciato prevalere l'emulazione (invidia?) della "forza" (in
realtà violenza) del "nemico", invece di scegliere di mostrare con
fermezza all'avversario che si può esser forti in altri modi, anche
senza esser violenti.

Risultato, una bella zappata sui piedi, propri e della comunità nella
quale si è agito.
L'effetto diretto, poi, è stato di danneggiare più organizzazioni
dissidenti che governative.

Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.

Con conseguente figuraccia di quel software in particolare, ma del
software libero in generale, visto che è la conferma di ciò che che
alcuni detrattori anunciavano: "nel mondo del software libero, le
competenze e le procedure non sono sufficienti ad evitare l'inserimento
di codice fraudolento".
Una visione di parte. Come dice Diego, cose dalle quali il software non
libero non è certo esente, ma in ogni caso una figuraccia che sarebbe
stato meglio evitare.

Neanche nella "do-ocracy" (il potere a chi "fa", dal verbo "to do",
"fare" in inglese) ci sono poteri buoni.
Chi usa la fiducia della comunità, acquisita per aver contribuito
attivamente ad un progetto, per usare il progetto della comunità ai
propri scopi, senza condividere gli obiettivi... commette un abuso di
potere.

Il 21/03/2022 10:07, Diego Zuccato ha scritto:

Il 21/03/2022 09:48, Marco Bertorello ha scritto:

Formalmente puo' anche non essere una violazione della licenza,

Direi che quasi sicuramente non lo è: il codice rimane open e a disposizione.

Violare una licenza MIT... è quasi impossibile :-) Non è certo una
affero!

ma e' un pericoloso precedente IMHO e stride con la filosofia
della Software Libero che conosciamo.

Su questo sono d'accordo.

Mah, io non so.
La "filosofia del Software Libero" è piuttosto settoriale.

Economicamente si sposa indifferentemente con chi predilige la
cooperazione e con chi vuole poter cambiare un fornitore appena un'indiscrezione sulla sua salute fa aumentare il rischio di un calo di efficienza.

Ed anche politicamente; il software libero può essere usato per
qualunque uso, anche per costruire strumenti atti a privare altri delle
proprie libertà fondamentali. Aggiungere la clausola, "non può essere
usato per uccidere persone in via stragiudiziale", sarebbe una
violazione della licenza...

A volte mi son chiesto se ci sarebbero vincoli di licenza per usare
software libero in una bomba "intelligente". Ma il bombardamento con
oggetti contenenti software non si configura come "diffusione" e chi
riceve la bomba in testa non è utente del software, quindi non ha
comunque alcun diritto.

Ĝis,
m

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/03/22 11:25, franchi@modula.net ha scritto:

Salve.

trovo sul Nist che il il pacchetto prima delle correzioni
sovrascriveva arbitrariamente files dei pc connessi da determinati
indirizzi IP con un "heart emoji".

Qui c'è anche il codice incriminato:

https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370

Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con
la versione 11.0.0 e successive.

Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.

...infatti; secondo me non c'è nessuna violazione della licenza, il
problema è che deve essere patchato per rimuovere il malware dal
sorgente o ancor meglio rimosso direttamente dai repositories.

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)