Názory k článku Ubuntu Snap Store obsahoval balíčky těžící kryptoměny
-
mngnt (neregistrovaný)
Presne to som siel podotknut. Na jednom mieste autor vypichne, ze porusuju MIT licenciu, lebo nezverejnuju zdrojak, o 10 riadkov nizsie pise, ze opensource nemusi byt bezpecny (nemusi, ale z tohto pripadu to nijak nevyplyva).
Mimochodom, to, ze ma ten snap 138.8 MB je normalne? Mam pocit, ze ta hra je doslova par stovak riadkov v js a nejake css...
A druha vec: to, ze na snap store pise "License Proprietary" ale licencia sa neda zobrazit a precitat, je kvoli google cache a nezachovani linkov, alebo je to aj v tom snap store normalna vec? -
> Mimochodom, to, ze ma ten snap 138.8 MB je normalne? Mam pocit, ze ta hra je doslova par stovak riadkov v js a nejake css...
Snap store nepoznam, ale toto je normalne. Snap a Flatpack stavaju na tom, ze sa vsetky zavislosti pribalia k aplikacii. Takze ak je nieco postavene nad html a js, bundluje si cely wenbbrowser.
-
To není pravda (u obou). Flatpak úplně od začátku používá runtimy a člověk musí přibalit k aplikaci pouze věci, které chybí v runtimu. Runtime je potom mezi aplikacemi sdílený. U snapů dřív platilo, že člověk musel přibalit všechno, ale už nějaký čas mají podporu tzv. base snapů, což je taková obdoba runtimů.
-
Reagoval jsem na tvrzení: "Snap a Flatpack stavaju na tom, ze sa VSETKY zavislosti pribalia k aplikacii."
Což prostě není pravda.Jinak co se týče runtimu s Electronem, tak jeden udělal Endless, který svůj systém cílí na slabé počítače a spotřebu zdrojů řeší hodně. Nicméně obecně si Electron balí aplikace prakticky vždy, bez ohledu na to, jestli jsou distribuované přes Flatpak nebo třeba RPM prostě proto, že jsou optimalizované na konkrétní verzi.
-
Karel (neregistrovaný)
> Technicky tak sice nešlo o malware
Z mého pohledu toto malware je, jelikož dělá něco, s čím uživatel nesouhlasí. I když možná v klasifikaci malware méně závažná, než kdyby uživatele špehoval.
> zveřejnil snapy pod proprietární licencí
Takže zneužil permisivní MIT licenci a udělal vlastně z kódu proprietární program.
> Své o tom ví správci repozitáře rozšíření pro Chrome, lidi kolem Google Play nebo třeba společnost Apple se svým App Store.
CrApple je jedním z nehorších příkladů proprietárního software se vším špatným, co lze od proprietárních programů očekávat:
https://stallman.org/apple.html
Jak autor poukazuje, žádny software není automaticky bezpečný, ale tím že je program svobodný software (proč používám tento pojem namísto open source https://www.root.cz/clanky/ubuntu-snap-store-obsahoval-balicky-tezici-kryptomeny/nazory/pridat/), je možné takovýto malware identifikovat mnohem jednodušeji a dříve, než v případě proprietárního software. Rovněž je snadné takovouto funkcionalitu odebrat, což je často u proprietárního software nemožné.
-
Karel (neregistrovaný)
tady je ten pravý odkaz:
https://www.gnu.org/philosophy/open-source-misses-the-point.en.html
-
Tom (neregistrovaný)
proprietrní SW ale neříká nic o dostupnosti zdrojových kódu a o ověřitelném build procesu, řiká pouze o podmínkách použití kódu či výsledné aplikace.
Mám také rád aplikace, kde mám k dispozici zdrojový kód, ale nemyslím si, že to automaticky znamená jejich bezpečnost, ke takovému xenu/kvm je sice zdrojový kód k dispozici, ale těm miliony řádků není snadné přečíst a ověřit. Dnes ohlášená kritická chyba u PGP/GPG a S/MIME je toho důkazeme, nejspíš se jedná o hooodně starou věcičku, ale na druhou stranu díky dostupnému kódu mohlo dojít k objevu.
-
xxxxx (neregistrovaný)
> Takže zneužil permisivní MIT licenci a udělal vlastně z kódu proprietární program.
Tuto větu nějak nechápu. MIT licence je právě tak volná, aby z ní šly udělat programy pod různou licencí a nebylo to nějaké pokoutné, ale normální, přímé, legální užití.
Podobně, jako si třeba často my bereme věci s MIT licencí a natvrdo je svážeme s GPL - čímž přikážeme dalším autorům, jak nadále _musí_ navíc s naším kódem pracovat (navíc oproti MIT), také není žádné zneužití MIT licence, byť ji "okrádáme" o (z zdrojových kódů) značnou část volnosti. Ale je to naprosto OK. Proto tak byla MIT napsána.
Nebo mi něco uniká a jak mám tedy chápat, že mělo dojít konkrétně ke zneužití copyrightu MIT licence?
-
xxxxx (neregistrovaný)
Stále nechápu..Jak morálně zneužiješ MIT?
tl;dr:
Vždyť MIT je jedna z nejvolnějších, prakticky public domain pro státy, kde public domain neexistuje, kde se nejde vyvázat.Pokud už někdo něco vydá pod MIT, tak tím přímo _chce_, CHCE, aby bylo možno užít libovolně. I morálně i legálně.
Dlouhá verze
Pokud by autor takovou volnost morálně nechtěl, tak může dílo vydat pod jinou licencí, protective FOSS.
Když já vydávám pod GPL, tak každému dalšímu autorovi přikazuji použít GPL kompatibilní, ať chce nebo ne. U GPL by se možná mohlo o nějakou morálku jednat, pokud by se další autor pokusil o mix GPL a LGPL/proprietární dodávaného nějak pokoutně bokem. Morálně (licenčně by mohlo, někdy, být ještě před hranou).
Ale u MIT nic takového, morálně, nehrozí. Následní autoři nejsou tak vázáni. Úmyslně.
-
xxxxx (neregistrovaný)
Heh? U věcí co vydávám pod MIT (resp. public domain-like) je jasné, že s tím může kdokoli dělat cokoli. Třeba i šmírovat uživatele (což mi jinak dost vadí, možná, možná i více než těžení - ale obvykle vadí obojí). Proto MIT-like užívám, když vyloženě chci vše povolit.
P.S.: Proč se tu tak rozohnívám... protože MIT je mé rozhodnutí mít to volné na úplně cokoli. To je vlastně opravdu jediné, co MIT říká. A ne, kdyuž nějaký hejhula lživým pokřikem snaží šířit jeho náboženství a pokřivuje tak MIT licenci. S tím ať jde do zadele. Kdybych chtěl (i jen morálně (!sic)) cokoli omezit (třeba i jinak v rámci FOSS), tak to v licenci udělám - a že jsem už i udělal.
-
null null (neregistrovaný)
@xxxxx
Ještě ti nedošel rozdíl mezi "volně k užití" a "volně k zneužití"? Jasně že můžeš, ale záměrem je volné užití, ne nemorální užití.
Ale polopatě když to musí být. Pokud dám volně do společné kuchyňky sadu kuchařských nožů ať se všem dobře krájí a napíšu poslužte si (MIT), asi nebudu moc rád, když někdo nůž vezme a někoho s ním pobodá, přestože jsem napsal "poslužte si". Už?
-
xxxxx (neregistrovaný)
Pokud někam napíšeš "dělejte si co chcete, já dávám ruce pryč od toho, co s tím bude" (MIT, public-domain-like) a pak se čílíš, tak jsi pěkný pokrytec či lhář a ne moralista.
Tak od toho nedávej ruce pryč. Sakra (omlouvám se za hrubší slova a velká písmena), PRÁVĚ OD TOHO tu je GNU a další jiné typy FOSS, i vlastní, aby případnému "volnému zneužití" omezil copyright (v rámci možností daných státem). Pak si, _oprávněně_, moralizuj, jak je ošklivý ten (kdo zneužije) či onen (pokud stát takovému zneužití jen přihlíží a nekoná).
Chjo. To mi nenapadlo, že budu muset zrovna toto (GNU a další protective FOSS a jich výhody oproti public domain - like) musím obhajovat právě tady na rootu. :-(
-
null null (neregistrovaný)
@xxxx
? Opravdu ? A kde se teba v MIT licenci píše že můžeš kód použít i ke klamání uživatelů - respektive - v které z licencí se výslovně píše, že kód nesmí být použit ke klamání uživatelů?
Nikde, protože kdo uvolňuje něco pod SW licencí tak nic takového nechce, počítá s tím že SW licence upravuje morálně správné a legální užití v rámci práva. Zneužití je pořád a dál zneužití. Nebo jsi snad někdy viděl licencovaný malware třeba? Asi ne ...Nebo když si koupíš kuchyňský nůž, tím pádem je jen tvůj a výrobci je do toho co s ním děláš prd, tak se má výrobce cítit fajn když jeho nožem někoho pobodáš?
To tu budem jak ti poťápaní američené psát každou blbost do licence, i že výrobce nechce abys nůž použil na bodání? WTF OMFG .... -
xxxxx (neregistrovaný)
@Kentan z Montargi
Tak pozor, teď mícháš více věcí dohromady.
- Za prvé, zneužít lze jakýkoli program, jakoukoli věc, pod jakoukoli licencí. S tím nemá licence nic společného. Tak proč ji potom zmiňovat - stejně nezmiňuješ, že používá strcpy, či že by zneužíval stdlib, kterou velmi pravděpodobně ten program také používá. Krom jediné výjimky - public domain, který svým způsobem zneužit být nemůže. Viz níže.
- Za druhé. Mezi všemi licencemi mají public domain like naprosto speciální postavení. Cokoli pod public domain vydáváš, tak opravdu přímo říkáš, aby s tím klidně dělali i ty nejhorší prasárny co koho napadne a že se zříkáš práva /ve všech možných významech/ na to to, co s tím dál bude. To je právě specialitka těch to typů licencí.
Mnoho lidí hází GPL a MIT do jednoho pytle ("vžtyť je to něco jako FOSS"). Ale, popravdě, třeba GPL má možná mnohem blíže k proprietárním licencím, než k public domain. Právě tím, že mnohem přesněji popisuje, co se smí a co nesmí. A žádá si na to i státní ochranu.
-
xxxxx (neregistrovaný)
@Kentan z Montargi
Žiji v představě, že MIT (právě MIT) je obdoba public domain a vznikla speciálně pro země, kde se nelze vzdát práva autorství (tedy nelze aplikovat public domain a pak by nemělo licenci uvedenou, takže by se použila "default" pro zemi vzniku - tedy obvykle ochranářská proprietární).
Na rozdíl od třeba původní BSD (později tuším také změnili), která byla sice také hodně volná, ale vyžadovala její zmínění v reklamě a tak.
Tak která je tedy teď ta "public domain - like" pro země, kde se nelze vzdát autorství (tedy kde nějakou licenci mít musí, jinak bude přiřazena proprietární)?
-
xxxxx (neregistrovaný)
@Kentan z Montargi
Tak jsem si znovu projel ty licence a MIT Ti opravdu výslovně povoluje VŠE, co se užití týče.Libovolného. Takže i cokoli, co si myslíš, že by mohlo být "zneužití" Vše včetně sublicence. Neexistuje tam nic jako morální zneužití (tedy třeba pokus o obejití práv jako na zdrojáky u GPL a podobně).
A výslovně se vzdává všech práv a odpovědností (ale to má kde kdo).
Jediná podmínka je přidat ten text (copyright notice and this permission notice). Což, pokud se historicky dobře pamatuji, tak bylo právě pro země kde nějaká licence být musí, tak aby byla povinnost a laicky nemohls být nařčen, že se o licenci nestaráš, takže se použije default proprietární ta by mohla znamenat, že veškerý další odvozený SW je v dané zemi nelegální.
-
null null (neregistrovaný)
@xxxx
Acho jo.
Tebe mate to "volné použití". Tím, že použiješ licenci se zařazuješ do nějakého právního prostředí - jinak, mimo to právní prostředí, je ti licence nelicence k ničemu když není právní prostředí. A to volné jakékoliv použití v případě MIT se vyslovuje k použití jakkoliv co se týče obchodních vztahů a autorských práv. Nikoliv k trestné činnosti. To se stejně nezabývá licencí. Jenom ti nepřišijí v další autoři žalobě ještě porušení licence. Trestné, nebo aspoň nemorální, takové zneužití zůstává pořád. Rozhodně ti licencí MIT nikdo nedává právo s tím kusem SW někoho podvádět či okrádat.
Nebo si snad myslíš, že když si stahneš MIT nějaký testovací nástroj, tak ti to dává volnou licenci zatočit třeba na vládní weby? Hmmmm, svérázné pojetí práva ... -
xxxxx (neregistrovaný)
" Rozhodně ti licencí MIT nikdo nedává právo s tím kusem SW někoho podvádět či okrádat."
Chyba. Dává mi to právo (i morální), z pohledu licence. Jak říkáš, ten, kdo mi to zakazuje/určuje morálku je stát/společenství (někde, něco, dle skutku), ale nepůjde o zneužití takové licence.
Pokud by s tím měl autor problémy, ošetří si to. Tak jako jsem si to ošetřil já, když jsem nechtěl, aby byl můj sw užit pro sledování uživatelů. Které je možná i někde legální /ani nevím/, někde jen se souhlasem a tak podobně.
Pokud se mi pak někdo snaží podstrčit, u sw, kde jsem sledování uživatelů neřešil (stejně jako ad, bitcoin a cokoli dalšího), tedy úmyslně nechal volné, na daném státu, pod MIT licencí, tak pokud se mi pak někdo snaží podstrčit, že to je její morální zneužití licence (jako cokoli dalšího), tak je to spíše ten aktivista (Ty) kdo je nemorální a zneužíváš něco, co není pravda (co jsem nikdy neprohlásil a ani nechtěl), pro svůj aktivismus.
Vidím, že si asi neporozumíme, takže tímto to uzavírám. Přeji příjemný zbytek dne.
-
karlik (neregistrovaný)
Proto jsou snapy k ničemu.
Proč to ve Fedoře nedotáhli do konce - kostra systému + zbytek snapy místo rpm?
Pokud se bude volně odkudkoliv cokoliv stahovat a instalovat do systému, bezpečnosti to moc neprospěje.
Pokud by byl centrální snap repozitář se správci - jako .deb nebo .rpm, tak by to snad fungovalo.
Stejně, mít padesát verzí různě starých stejných knihoven, které nikdo neaktualizuje a neudržuje...
-
- Embedded Firmware / Software Developer
- PLC Test Engineer junior/senior, řídící systémy
- Specialista řízených služeb (m/f)
- IT specialista junior Praha 9 - Kbely
- Systémový administrátor/administrátorka senior
- Vývojář/Analytik C++/SQL
-
- Každodenní pokec v němčině
- Rozmluvte se anglicky!
- Konec prokrastinace
- OneDrive pro firmy 1: Pracujte se soubory kdekoli
- Mentoring: Nechte si poradit a odbrzděte kariéru
- Improvizace aneb jak být pohotový
-
- Embedded Firmware / Software Developer
- Business konzultant v dopravním týmu
- Specialista řízených služeb (m/f)
- IT specialista junior Praha 9 - Kbely
- Systémový administrátor/administrátorka senior
- Scrum master
-
- Základy barevné osobnostní typologie
- Rozmluvte se anglicky!
- Prezentační dovednosti a veřejný projev
- Konec prokrastinace
- Radikální otevřenost: Jak dávat účinnou zpětnou vazbu?
- Improvizace aneb jak být pohotový
ČLÁNKY DO MAILU