Популярный Открытый исходный код (OS) проект Moq только что был обновлен, чтобы включить дополнение с не очень открытым исходным кодом в виде серии DLL, предназначенных для сбора хэшей адресов электронной почты пользователей.
Впервые об изменениях сообщил Пищит Компьютерв котором отмечается, что проект ежедневно загружается в среднем около 100 000 раз, а с момента его создания было загружено более 476 миллионов.
Начиная с версии 4.20.0, Moq начал включать SponsorLink, проект, поставляемый с закрытым исходным кодом, который лишает Moq одного из ключевых преимуществ — того факта, что это Операционные системы проект.
Пакеты Moq в проекте с закрытым исходным кодом
Один из владельцев Moq, Даниэль Каззулино, отметил Пищит Компьютер чтобы также быть мейнтейнером проекта SponsorLink, незаметно выпустил обновление в начале этого месяца. Хотя это изменение вполне разумно, оно прошло в значительной степени без объявления, и существующие пользователи, принявшие участие в проекте с открытым исходным кодом, могут не знать об этом, не прочитав мелкий шрифт.
Библиотеки SponsorLink, которые собирают хэши адресов электронной почты для отправки в CDN SponsorLink, содержат запутанный код, который противоречит принципам открытого исходного кода Moq.
В дни, последовавшие за обновлением, GitHub был завален критикой этого шага, и многие недовольные пользователи назвали обновление нарушением GDPR. Другие указали, что запутанный пакет потенциально может скрыть некоторые действия от ничего не подозревающих пользователей. Один из пользователей назвал этот шаг «мокерией».
В свете негативной реакции Каззулино подтвердил, что «фактическое электронное письмо никогда не отправляется при выполнении проверки спонсорства», что можно проверить, «запустив Fiddler, чтобы увидеть, какой трафик происходит».
Каззулино продолжает: «Электронная почта на вашем локальном компьютере хэшируется с помощью SHA256, а затем кодируется Base62. Полученная непрозрачная строка (которая никогда не может раскрыть исходное электронное письмо) — единственное, что используется».
Кроме того, приостановка или удаление приложения удаляет все записи, связанные с учетной записью пользователя.
В следующем обновлении версия 4.20.2, похоже, отменила это изменение, хотя для многих репутационного ущерба могло быть достаточно, чтобы отложить их.
2023-08-10 17:56:48
1691690857
#Лучший #проект #открытым #исходным #кодом #Moq #раскритиковали #за #тайный #сбор #пользовательских #данных