Голосование

Будете ли вы использовать расширение Joomla, если в нем есть spyware ?

Нет, не буду
9 (20.9%)
Сначала узнаю, какая информация отправляется и уже тогда приму решение
14 (32.6%)
Сразу же постараюсь удалить код отправки информации
18 (41.9%)
Мне все равно
1 (2.3%)
А что это такое?
1 (2.3%)

Проголосовало пользователей: 42

0 Пользователей и 1 Гость просматривают эту тему.
  • 57 Ответов
  • 10024 Просмотров
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Вчера, совершенно случайно, в одном из уже довольно популярных компонентов для Joomla 1.5 обнаружил несколько неприятный момент: компонент при установке отправляет на почту разработчику информацию о месте установки. При этом, естественно и уходит информация о e-mail, указанном в поле конфигурации mailfrom.

Сразу вспомнилась история прошлых лет, когда по многим форумам и бюллетеням безопасности прокатилась волна негодования по поводу отправки подобной информации компонентом DatsoGallery. Правда, надо сразу сказать, что там отправлялось безусловно больше информации: версии Joomla, PHP и MySQL, что безусловно более критично.

С одной стороны, в данном случае вроде как ничего плохого нет - разработчик желает знать куда ставится его компонент, и с этой точки зрения наверно безусловно имеет на то полное право.

С другой стороны, делать это втихую, не уведомляя об этом пользователей, как мне кажется весьма неправильно. Во-первых, вполне возможно, что далеко не все пользователи хотят, чтобы информация об их сайтах куда-то уходила (даже если это просто адрес сайта - всякое бывает, может быть в процессе подготовки идет какой-то проект, и автор нее хочет, чтобы о нем ни при каких условиях не узнала общественность). Во-вторых, посредством этой операции уходит информация о e-mail адресе, который в принципе по умолчанию довольно часто является адресом администратора, и эта информация как мне кажется зачастую конфиденциальна. Ведь никто не застрахован от ситуации, когда по какой-то случайности или невнимательности база с адресами пользователей станет доступна третьим лицам?

Столкнувшись с данной ситуацией, я пришел к выводу, что все-таки не нужно забывать старое правило: прежде чем установить какой либо продукт, необходимо детально изучить что он делает, и какие могут быть последствия. Однако проблема в том, что большинство пользователей не обладают достаточным уровнем знаний, чтобы определить, может ли конкретный продукт причинить им какой-то вред или нет, и если может, то в какой степени.

Больше всего, в этой ситуации меня удивляет тот факт, что статистика о количестве установок собирается именно таким образом. Ведь если речь идет просто о сборе информации о факте установки компонента и его месте установки, то есть намного более простой способ: на страницу, отображающуюся в процессе установки компонента устанавливается ссылка на изображение (допустим логотип), и уже на сайте разработчика считается статистика загрузки этой картинки, и по полю HTTP_REFERER можно всегда посмотреть где именно установлено.  В этом случае, по крайней мере, нет никакой необходимости отправлять куда-либо, какую-либо информацию.
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
Re: Как вы относитесь к spyware?
« Ответ #1 : 10.07.2008, 11:08:15 »
категорически против скрытой отправки. я бы сказал это возмутительно. об этом надо ХОТЯ БЫ сообщать пользователю.
*

PaLyCH

  • Давно я тут
  • 956
  • 146 / 19
  • Менеджер проектов
Re: Как вы относитесь к spyware?
« Ответ #2 : 10.07.2008, 11:09:52 »
Опаньки, это интересно. Скоро вирусы и троянцы будут сидеть в комплекте с такими успехами.

В последнее время при серфе в инете заметил что, очень много сайтов которые с троянцами и прочей фигней, раздражающими всплывающими рекламами, которые закрывают необходимую информацию. Да наверно это все видели.

Это все проделки черных сеошников
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
категорически против скрытой отправки. я бы сказал это возмутительно. об этом надо ХОТЯ БЫ сообщать пользователю.
причем как мне кажется до самого факта отправки, а не после... в принципе, это довольно распространенная практика у производителей ПО - взять тот же Windows, Firefox - они прежде чем отправить тот же баг-репорт, спрашивают у пользователя.

Опаньки, это интересно. Скоро вирусы и троянцы будут сидеть в комплекте с такими успехами.
ну это мне кажется уже слишком преувеличено, но сам факт, что что-то делается в тайне, мне лично уже отношение к продукту меняет на подозрительное...
*

userxp

  • Живу я здесь
  • 2019
  • 403 / 6
  • Злой и ужасный бармалей
Re: Как вы относитесь к spyware?
« Ответ #4 : 10.07.2008, 11:12:09 »
это конечно, неприятно, но...
у тебя есть предложения?

лично я считаю так - если чел хочет саппорт, то он за него платит тогда извещает производителя софта о тех. подробностях.
а нет - так нет.
Как правильно задавать вопрос службе технической поддержки  yes!
SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
ну я думаю многих из нас слышали про скрытые обновления windows, которые произвели довольно большой резонанс среди пользователей.

с другой стороны, разработчик компонента может не оставить выбора, ибо в некоторых сферах альтернатив единственному компоненту нет. поэтому совсем категорично к этому отнестись нельзя.
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
это конечно, неприятно, но... у тебя есть предложения?
ну первая мысль, что такие ситуации надо отслеживать, и как-то более-менее широко освещать их в новостях, чтобы пользователи по крайней мере знали что происходит... конечно, ни в коем случае не принимать за них решения, но просто информировать...

лично я считаю так - если чел хочет саппорт, то он за него платит тогда извещает производителя софта о тех. подробностях.
в любом случае, я считаю, что отправка любой информации куда-либо должна быть подконтрольна пользователю... и он должен о ней знать,. и иметь средства предотвратить ее, если считает, что ему это не нужно

с другой стороны, разработчик компонента может не оставить выбора, ибо в некоторых сферах альтернатив единственному компоненту нет. поэтому совсем категорично к этому отнестись нельзя.
альтернатива всегда есть, например править код, убирая отправку информации, или создать расширение, которое в процессе установки любых расширений будет отключать функцию отправки почты (хм, может мне написать такое?)
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
альтернатива всегда есть, например править код, убирая отправку информации
а это корректно по отношению к разработчику?
*

userxp

  • Живу я здесь
  • 2019
  • 403 / 6
  • Злой и ужасный бармалей
несанкционированная отправка мыла априори незаконна
1) не декларирована в возможностях компонента
2) пользователь об этом не проинформирован
3) скрытое использование почтовых настроек логин/пароль и т.д.

так что я думаю, это вполне может быть подсудным делом
Как правильно задавать вопрос службе технической поддержки  yes!
SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3
*

userxp

  • Живу я здесь
  • 2019
  • 403 / 6
  • Злой и ужасный бармалей
а это корректно по отношению к разработчику?
а разработчик корректен по отношению к пользователю?...
Как правильно задавать вопрос службе технической поддержки  yes!
SGA CM 7.2.0 RC0 KANG Build GWK74 + s95allinonescript + CWM 5.0.2.6 + Modem XWKT3
*

VETERINAR

  • Давно я тут
  • 855
  • 165 / 14
  • Kiss my shiny metal ass!
Всегда нужно давать право выбора. В readme должно быть написано "Этот компонент при установки отправляет разработчику на мыло системную информацию (или ещё чето-там)" и если пользователь с этим соглашается, то он этот компонент ставит. Если нет - посылает компонент вместе с разработчиком к такой-то матери и ищет что-то другое.

Моё имхо - нельзя лишать пользователя права выбирать.
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
а разработчик корректен по отношению к пользователю?...
абсолютно согласен. поэтому правильный выход
В readme должно быть написано "Этот компонент при установки отправляет разработчику на мыло системную информацию (или ещё чето-там)" и если пользователь с этим соглашается, то он этот компонент ставит. Если нет - посылает компонент вместе с разработчиком к такой-то матери и ищет что-то другое.

даже не только в readme, а где нибудь и в лицензионном соглашении.
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
так что я думаю, это вполне может быть подсудным делом
ну это мне кажется уже перебор, но то что это некорректно, это да...

а разработчик корректен по отношению к пользователю?...
мне лично кажется, что нет... ведь пользователя не информируют о том, что происходит...

И еще, с точки зрения пользователя, то для своих личных целей, он может менять в продукте все что угодно (за исключением ситуаций с компилируемым кодом, когда декомпиляция и любые действия по реверсу явно запрещены лицензиями).

Всегда нужно давать право выбора. В readme должно быть написано "Этот компонент при установки отправляет разработчику на мыло системную информацию (или ещё чето-там)" и если пользователь с этим соглашается, то он этот компонент ставит.
проблема в том, что 99% пользователей ставят компонент, не распаковывая ахрив - все привыкли к тому, что пакет нужно просто загрузить из административной панели. А когда он уже установлен - информация уже ушла, и информировать как бы поздно.

Мне кажется, что намного логичнее, сделать обычную кнопку - по которой информация будет отправляться, при этом описать какаия именно информация отправляется, зачем, и чем это выгодно пользователю (я б к примеру, сразу же бы формировал каталог сайтов, где установлен продукт, и клик по кнопке, мог бы делать автоматическую регистрацию сайта в каталоге - естественно, при желании пользователя). Таким образом и пользователи были бы довольны (по крайней мере не считали бы себя обманутыми), и разработчик б получил то, что ему интересно
*

ageent

  • Захожу иногда
  • 122
  • 36 / 4
На мой взгляд, если расширение предоставляется бесплатно, то разработчик имеет право знать о том, как оно используется. Ибо за халяву всегда нужно чем-то платить.
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
На мой взгляд, если расширение предоставляется бесплатно, то разработчик имеет право знать о том, как оно используется. Ибо за халяву всегда нужно чем-то платить.
точно так же, как пользователь имеет право знать о том, что какая-то его информация куда-то отправляется... а если завтра так уйдет информация о посетителях сайта, которой смогут воспользоваться конкуренты? а если, не дай Бог, пароль? а если еще что-то?
*

Lexx

  • Захожу иногда
  • 239
  • 34 / 1
  • Redsoft рулит
абсолютно согласен. поэтому правильный выход
даже не только в readme, а где нибудь и в лицензионном соглашении.
именно. его все равно почти никто не читает, и формально разработчик будет прав.
А без этого - он тупо нарушает закон, собирая информацию.
*

vanadik

  • Осваиваюсь на форуме
  • 22
  • 3 / 0
Действительно беспредел, личная информация становится доступна неизвестно кому, и как её воспользуются в итоге, тоже неизвестно. Нормальные производители продукта, обязаны информировать пользователя о таких вещах, в противном случае-это реально подсудное дело. Так называемая кража личных данных, путём обмана.
*

Mitrich

  • Захожу иногда
  • 289
  • 524 / 13
  • Все можно. Но сначала учиться, учиться и учиться.
В голове бродит мысль о создании некой группы которая будет выносить решение о безопасности расширения для конечного пользователя.
Это конечно трудозатратно, но если практика внедрения в компоненты spyware будет присутствовать, то все равно рано или поздно юзеры форумов будут задавать вопросы о безопасности того или иного расширения.
*

Ptolemej

  • Захожу иногда
  • 52
  • 6 / 0
В голове бродит мысль о создании некой группы которая будет выносить решение о безопасности расширения для конечного пользователя.
Это конечно трудозатратно, но если практика внедрения в компоненты spyware будет присутствовать, то все равно рано или поздно юзеры форумов будут задавать вопросы о безопасности того или иного расширения.
... а на форумах появляться советы, как эти куски вырезать из кода.
*

vanadik

  • Осваиваюсь на форуме
  • 22
  • 3 / 0
... а на форумах появляться советы, как эти куски вырезать из кода.
Ну не так всё просто, их же могут прятать куда угодно, пойди ещё найди.
*

Ragivort

  • Завсегдатай
  • 1154
  • 58 / 2
  • Такая Life
smart, спасибо, что поднял эту тему, буду теперь знать, что такая фишка есть, но ты не сказал главного, для тех, кто не обладает достаточными знаниями, а как же узнать, делает ли компонент козни или нет? для начала просто узнать, а потом уже принимать меры.
Дозволь мне свершить то добро, которое я способен свершить, теперь, ибо я могу более не вернуться сюда.
*

spiteful_troll

  • Осваиваюсь на форуме
  • 44
  • 6 / 0
  • http://www.woweb.biz
Прикольно, после голосования обнаружил, что большинство форумчан думают как и я: использовать будут, но код с отправкой надо удалять, не дожидаясь перетонита! ;D

Учитъвая, что так как и я думает большиньтво разработчиков,
предлагаю организовать Топик на форуме, где можно бъло бъ поделиться инфой какой компонент (в каком файле и в какой строке) занимается негласной рассълкой, если уж наткнулись.

Кто за? :D
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
Ну не так всё просто, их же могут прятать куда угодно, пойди ещё найди.
спрятать что-то в открытом коде невозможно.
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
именно. его все равно почти никто не читает, и формально разработчик будет прав.
дело в том, что если детально подходить к этому вопросу, то разработчик обязан показать это лицензионное соглашение пользователю ДО процесса установки, и продолжить установку только в том случае, если пользователь согласен с его условиями. ведь далеко не все потенциальные пользователи знают о том, что вообще может содержаться в пакете компонента - многие его используют как обычную батарейку - купил, вставил в фонарик - включил - работает, а что в батарейке - хз...

Ну не так всё просто, их же могут прятать куда угодно, пойди ещё найди.
вот поэтому и появляется мысль, о необходимости создания или раздела для обмена такой информацией, или, как правильно заметил Митрич, некоей группы, которая будет периодически проверять расширения. не только на работоспособность, но и на потенциальные уязвимости и spyware
*

Mitrich

  • Захожу иногда
  • 289
  • 524 / 13
  • Все можно. Но сначала учиться, учиться и учиться.
Ну найти то как раз не проблема.
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
кстати, а почему надо скрывать название компонента то? может уже сейчас он собрал достаточно информации
*

Vzx

  • Осваиваюсь на форуме
  • 18
  • 3 / 0
По-моему, это просто не дело. Причина даже не в том, что "жалко" предоставлять разработчику сведения об использовании его компонента. Просто неприятно, когда это делается втихушку и не знаешь, что именно и в каком объёме передаётся. Имхо, у пользователя должен быть выбор, передавать или нет те или иные сведения на сторонние ресурсы, он обязан быть проинформирован о целях, для которых производится сбор данных, и прямым образом давать своё согласие на это (грубо говоря, нажимать кнопку "да, согласен передавать данные туда-то"). А поскольку такой галочки-кнопочки, как я понимаю, нет, то это прямая дорога в суд. :) Может, е-мейл адреса для спама собираются, а адреса сайтов и сведения о другом установленном ПО для проведения атаки/взлома? Раз пользователь не давал явного согласия на какую-либо отправку данных при установке компонента, то и делаться такого не должно. Имхо.
*

Lexx

  • Захожу иногда
  • 239
  • 34 / 1
  • Redsoft рулит
дело в том, что если детально подходить к этому вопросу, то разработчик обязан показать это лицензионное соглашение пользователю ДО процесса установки, и продолжить установку только в том случае, если пользователь согласен с его условиями. ведь далеко не все потенциальные пользователи знают о том, что вообще может содержаться в пакете компонента - многие его используют как обычную батарейку - купил, вставил в фонарик - включил - работает, а что в батарейке - хз...
ну обычно при установке ПО оно и показывается - типа, нажмите галочку, что прочитали и давайте ставить ..
*

iT)ZevS(

  • Захожу иногда
  • 177
  • 31 / 2
ну обычно при установке ПО оно и показывается - типа, нажмите галочку, что прочитали и давайте ставить ..
внимание вопрос - сколько % людей его читают? а если на английском, немецком?
*

vanadik

  • Осваиваюсь на форуме
  • 22
  • 3 / 0
Нужно наверно создать ветку форума, в которой будет собираться данная информация, теперь всё равно многие при использовании того или иного компонента будут проверять его на наличие шпионов, и если они будут обнаружены, то банально надо выкладывать в этой ветке данную информацию, название, как вырезать и прочее... И там же пусть люди, незнающие сути дела, задают вопросы, о тех или иных компонентах, группе, которая будет готова заняться непосредственно поиском шпионов.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как выявить вредоностный код на CMS Joomla?

Автор stud_pro

Ответов: 1
Просмотров: 745
Последний ответ 23.04.2024, 10:06:10
от wishlight
Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 1506
Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1608
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

Ответов: 5
Просмотров: 1584
Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

Ответов: 28
Просмотров: 13192
Последний ответ 25.04.2021, 19:42:48
от rsn