Вчера, совершенно случайно, в одном из уже довольно популярных компонентов для Joomla 1.5 обнаружил несколько неприятный момент: компонент при установке отправляет на почту разработчику информацию о месте установки. При этом, естественно и уходит информация о e-mail, указанном в поле конфигурации mailfrom.
Сразу вспомнилась история прошлых лет, когда по многим форумам и бюллетеням безопасности прокатилась волна негодования по поводу отправки подобной информации компонентом DatsoGallery. Правда, надо сразу сказать, что там отправлялось безусловно больше информации: версии Joomla, PHP и MySQL, что безусловно более критично.
С одной стороны, в данном случае вроде как ничего плохого нет - разработчик желает знать куда ставится его компонент, и с этой точки зрения наверно безусловно имеет на то полное право.
С другой стороны, делать это втихую, не уведомляя об этом пользователей, как мне кажется весьма неправильно. Во-первых, вполне возможно, что далеко не все пользователи хотят, чтобы информация об их сайтах куда-то уходила (даже если это просто адрес сайта - всякое бывает, может быть в процессе подготовки идет какой-то проект, и автор нее хочет, чтобы о нем ни при каких условиях не узнала общественность). Во-вторых, посредством этой операции уходит информация о e-mail адресе, который в принципе по умолчанию довольно часто является адресом администратора, и эта информация как мне кажется зачастую конфиденциальна. Ведь никто не застрахован от ситуации, когда по какой-то случайности или невнимательности база с адресами пользователей станет доступна третьим лицам?
Столкнувшись с данной ситуацией, я пришел к выводу, что все-таки не нужно забывать старое правило: прежде чем установить какой либо продукт, необходимо детально изучить что он делает, и какие могут быть последствия. Однако проблема в том, что большинство пользователей не обладают достаточным уровнем знаний, чтобы определить, может ли конкретный продукт причинить им какой-то вред или нет, и если может, то в какой степени.
Больше всего, в этой ситуации меня удивляет тот факт, что статистика о количестве установок собирается именно таким образом. Ведь если речь идет просто о сборе информации о факте установки компонента и его месте установки, то есть намного более простой способ: на страницу, отображающуюся в процессе установки компонента устанавливается ссылка на изображение (допустим логотип), и уже на сайте разработчика считается статистика загрузки этой картинки, и по полю HTTP_REFERER можно всегда посмотреть где именно установлено. В этом случае, по крайней мере, нет никакой необходимости отправлять куда-либо, какую-либо информацию.