Re: [OT] - Violazione licenza?
Ciao, Il 2022-03-21 11:25 fran...@modula.net ha scritto: trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva arbitrariamente files dei pc connessi da determinati indirizzi IP con un "heart emoji". Se non ho capito male, gli IP cui infliggere le sovrascritture erano quelli nel territorio di una stato attualmente in guerra. Chi lo ha fatto ha lasciato prevalere l'emulazione (invidia?) della "forza" (in realtà violenza) del "nemico", invece di scegliere di mostrare con fermezza all'avversario che si può esser forti in altri modi, anche senza esser violenti. Risultato, una bella zappata sui piedi, propri e della comunità nella quale si è agito. L'effetto diretto, poi, è stato di danneggiare più organizzazioni dissidenti che governative. Non sarebbe un bug ma un comportamento intenzionale, e quindi, tecnicamente, un malware. Con conseguente figuraccia di quel software in particolare, ma del software libero in generale, visto che è la conferma di ciò che che alcuni detrattori anunciavano: "nel mondo del software libero, le competenze e le procedure non sono sufficienti ad evitare l'inserimento di codice fraudolento". Una visione di parte. Come dice Diego, cose dalle quali il software non libero non è certo esente, ma in ogni caso una figuraccia che sarebbe stato meglio evitare. Neanche nella "do-ocracy" (il potere a chi "fa", dal verbo "to do", "fare" in inglese) ci sono poteri buoni. Chi usa la fiducia della comunità, acquisita per aver contribuito attivamente ad un progetto, per usare il progetto della comunità ai propri scopi, senza condividere gli obiettivi... commette un abuso di potere. Il 21/03/2022 10:07, Diego Zuccato ha scritto: Il 21/03/2022 09:48, Marco Bertorello ha scritto: >> Formalmente puo' anche non essere una violazione della licenza, Direi che quasi sicuramente non lo è: il codice rimane open e a disposizione. Violare una licenza MIT... è quasi impossibile :-) Non è certo una affero! >> ma e' un pericoloso precedente IMHO e stride con la filosofia >> della Software Libero che conosciamo. Su questo sono d'accordo. Mah, io non so. La "filosofia del Software Libero" è piuttosto settoriale. Economicamente si sposa indifferentemente con chi predilige la cooperazione e con chi vuole poter cambiare un fornitore appena un'indiscrezione sulla sua salute fa aumentare il rischio di un calo di efficienza. Ed anche politicamente; il software libero può essere usato per qualunque uso, anche per costruire strumenti atti a privare altri delle proprie libertà fondamentali. Aggiungere la clausola, "non può essere usato per uccidere persone in via stragiudiziale", sarebbe una violazione della licenza... A volte mi son chiesto se ci sarebbero vincoli di licenza per usare software libero in una bomba "intelligente". Ma il bombardamento con oggetti contenenti software non si configura come "diffusione" e chi riceve la bomba in testa non è utente del software, quindi non ha comunque alcun diritto. Ĝis, m
Re: [OT] - Violazione licenza?
Ciao Luciano. Infatti scrivevo che sul sw closed è mascherabile come bug. Questo oltretutto non si guadagna neanche il premio come primo malware opensource... :) Il 21/03/2022 11:25, fran...@modula.net ha scritto: Salve. trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva arbitrariamente files dei pc connessi da determinati indirizzi IP con un "heart emoji". Qui c'è anche il codice incriminato: https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370 Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con la versione 11.0.0 e successive. Non sarebbe un bug ma un comportamento intenzionale, e quindi, tecnicamente, un malware. Luciano Franchi Il 21/03/2022 10:07, Diego Zuccato ha scritto: Il 21/03/2022 09:48, Marco Bertorello ha scritto: > >> Formalmente puo' anche non essere una violazione della licenza, > Direi che quasi sicuramente non lo è: il codice rimane open e a > disposizione. > >> ma e' un pericoloso precedente IMHO e stride con la filosofia >> della Software Libero che conosciamo. > Su questo sono d'accordo. > > Inoltre getta ombre di sospetto su tutto il sw libero/open (come se > certe cose non potessero capitare su sw closed... ma ovviamente non > fa notizia perché più facilmente mascherabile da bug). > -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] - Violazione licenza?
Salve. trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva arbitrariamente files dei pc connessi da determinati indirizzi IP con un "heart emoji". Qui c'è anche il codice incriminato: https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370 Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con la versione 11.0.0 e successive. Non sarebbe un bug ma un comportamento intenzionale, e quindi, tecnicamente, un malware. Luciano Franchi Il 21/03/2022 10:07, Diego Zuccato ha scritto: Il 21/03/2022 09:48, Marco Bertorello ha scritto: > >> Formalmente puo' anche non essere una violazione della licenza, > Direi che quasi sicuramente non lo è: il codice rimane open e a > disposizione. > >> ma e' un pericoloso precedente IMHO e stride con la filosofia >> della Software Libero che conosciamo. > Su questo sono d'accordo. > > Inoltre getta ombre di sospetto su tutto il sw libero/open (come se > certe cose non potessero capitare su sw closed... ma ovviamente non > fa notizia perché più facilmente mascherabile da bug). >
Re: [OT] - Violazione licenza?
On Mon, Mar 21, 2022 at 09:48:12AM +0100, Marco Bertorello wrote: > Buongiorno lista, > > spero di non scatenare inutili polemiche e discussioni circa quello che sta > succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: > > https://github.com/advisories/GHSA-97m3-w2cp-4xx6 > > Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a tutti > gli effetti una licenza di Software Libero. > > Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali. > > Mentre la licenza non pone vincoli in questo senso, questo rilascio entra > nel merito di dove viene eseguito il codice, comportandosi diversamente a > seconda > della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare > chi puo' usare il software e chi no. > > Formalmente puo' anche non essere una violazione della licenza, ma e' un > pericoloso precedente IMHO e stride con la filosofia della Software Libero > che conosciamo. > > Che ne pensate? ...che non sembra(va) rispettare la licenza MIT: [..] "Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use,... ^^ [..] https://it.wikipedia.org/wiki/Licenza_MIT se il programma si "disabilita" a seconda degli IP direi che il "diritto di uso" non è rispettato... IANAL of course... -- Saluton, Marco Ciampa
Re: [OT] - Violazione licenza?
Il 21/03/2022 10:05, Piviul ha scritto: Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto un programma che esegue azioni diverse in base alla geolocalizzazione dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il software rispetta le libertà fondamentali del software libero no? ...ma forse mi sfugge qualcosa. No, hai capito perfettamnente, infatti dicevo che formalmente puo' non essere una violazione (e in molti l'avete confermato), tuttavia e' un comportamento discriminatorio che lede il diritto di utilizzo di chiunque per qualunque scopo. Anche i software web (pre affero e gplv3) non violavano la licenza, ma di fatto queste licenze sono nate proprio per coprire quei casi d'uso dove formalmente la licenza era rispettata, tuttavia era permesso privare gli utenti dell'accesso al software (e relativi diritti) che andavano ad utilizzare. Qualcuno che segue piu' da vicino FSF, sa se c'e' una discussione a riguardo? -- Marco Bertorello https://www.marcobertorello.it
Re: [OT] - Violazione licenza?
Il 21/03/2022 09:48, Marco Bertorello ha scritto: Formalmente puo' anche non essere una violazione della licenza, Direi che quasi sicuramente non lo è: il codice rimane open e a disposizione. ma e' un pericoloso precedente IMHO e stride con la filosofia della Software Libero che conosciamo. Su questo sono d'accordo. Inoltre getta ombre di sospetto su tutto il sw libero/open (come se certe cose non potessero capitare su sw closed... ma ovviamente non fa notizia perché più facilmente mascherabile da bug). -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] - Violazione licenza?
Il 21/03/22 09:48, Marco Bertorello ha scritto: Buongiorno lista, spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: https://github.com/advisories/GHSA-97m3-w2cp-4xx6 Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a tutti gli effetti una licenza di Software Libero. Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali. Mentre la licenza non pone vincoli in questo senso, questo rilascio entra nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no. Formalmente puo' anche non essere una violazione della licenza, ma e' un pericoloso precedente IMHO e stride con la filosofia della Software Libero che conosciamo. Che ne pensate? Scusa Marco chiedo conferma di aver capito bene. Un tizio ha scritto un programma che esegue azioni diverse in base alla geolocalizzazione dell'IP. Se ho capito bene, dov'è la violazione della licenza? Il software rispetta le libertà fondamentali del software libero no? ...ma forse mi sfugge qualcosa. Piviul
Re: [OT] - Violazione licenza?
Il 21/03/2022 09:59, Leonardo Boselli ha scritto: se le cose stanno come l'articolo che hai citato sembrerebbe eche la versione aggiornata abbia rimosso una parte di codice che agiva in base all'IP della macchina dove veniva eseguito, funzionando deliberatamente "male" in quei casi. Quindi il rilascio fa esattamente il contrario di quel che dici tu, ossia permette al pacchietto di comportarsi correttamente indipendentemente da chi lo esegue. Certo, ma ovviamente mi riferivo al rilascio precedente, quello che introduceva il comportamento doloso -- Marco Bertorello https://www.marcobertorello.it
Re: [OT] - Violazione licenza?
se le cose stanno come l'articolo che hai citato sembrerebbe eche la versione aggiornata abbia rimosso una parte di codice che agiva in base all'IP della macchina dove veniva eseguito, funzionando deliberatamente "male" in quei casi. Quindi il rilascio fa esattamente il contrario di quel che dici tu, ossia permette al pacchietto di comportarsi correttamente indipendentemente da chi lo esegue. On Mon, 21 Mar 2022, Marco Bertorello wrote: spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: https://github.com/advisories/GHSA-97m3-w2cp-4xx6 Mentre la licenza non pone vincoli in questo senso, questo rilascio entra nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no. -- Leonardo Boselli Firenze, Toscana, Europa http://i.trail.it
[OT] - Violazione licenza?
Buongiorno lista, spero di non scatenare inutili polemiche e discussioni circa quello che sta succedendo, ma vorrei sapere il vostro punto di vista circa questa vicenda: https://github.com/advisories/GHSA-97m3-w2cp-4xx6 Nello specifico, il pacchetto ha licenza MIT, che mi risulta essere a tutti gli effetti una licenza di Software Libero. Come tale, mi aspetto che rispetti le 4 principali liberta' fondamentali. Mentre la licenza non pone vincoli in questo senso, questo rilascio entra nel merito di dove viene eseguito il codice, comportandosi diversamente a seconda della geolocalizzazione dell'IP che lo usa, andando di fatto a discriminare chi puo' usare il software e chi no. Formalmente puo' anche non essere una violazione della licenza, ma e' un pericoloso precedente IMHO e stride con la filosofia della Software Libero che conosciamo. Che ne pensate? -- Marco Bertorello https://www.marcobertorello.it