Autor: Fedora Project

Curl je velmi užitečná knihovna a zároveň utilita, která umožňuje interagovat s mnoha různými síťovými protokoly. Obvykle se používá ke stahování obsahu pomocí HTTPS nebo HTTP, ale podporuje celou hromadu dalších protokolů, z nichž některé jsou velmi raritní, zastaralé nebo opuštěné, případně všechny tři varianty dohromady.

Z nedávné diskuse mezi vývojáři Fedory tedy vyplynulo, že by dávalo smysl mít v systému nainstalovaný balíček curl-minimal se základní sadou nejpoužívanějších protokolů a náročnější uživatel by si zbytek podle potřeby nainstaloval. Základní balíček by uměl jen protokoly HTTP, HTTPS a FTP, přičemž by měl deaktivované protokoly jako DICT, GOPHER, IMAP, LDAP, LDAPS, MQTT, NTLM, POP3, RTSP, SMB, SMTP, SFTP, SCP, TELNET, TFTP a další.

Důvodů pro tento krok je několik – hlavní problém je, že tyto méně používané protokoly nejsou dostatečně otestované a jsou často zdrojem bezpečnostních problémů. Zpracování některého z protokolů může být vyvoláno bez účasti uživatele, třeba tak, že HTTP server pošle přesměrování, po kterém bude potřeba využít nový protokol.

Drtivá většina uživatelů stejně jiné protokoly než HTTP a HTTPS nepoužije, takže jejich odstraněním se výrazně sníží prostor k útoku na výchozí instalaci. Vedlejším efektem pak je, že se velikost binárky sníží o 12 %, tedy asi o 8 MB. Současný návrh hovoří o tom, že by se na tento režim přešlo od Fedory 37.