Lo strano caso di KeePassXC, software open-source di cui il maintainer Debian ha deciso di ridurre le funzionalità per ragioni di sicurezza
Quella di cui parliamo oggi è una polemica scoppiata in seno al progetto Debian e che riguarda un software open-source pacchettizzato nella distribuzione ed il suo maintainer, il quale ha deciso in autonomia di modificarne le funzionalità abilitate di default.
La storia è raccontata nel dettaglio in questo articolo di Linuxiac e cercheremo qui di riassumerla.
Julian Klode, sviluppatore Debian ed Ubuntu Core oltre che maintainer del pacchetto KeePassXC (un software open-source di gestione delle password) durante l’ultimo aggiornamento del pacchetto ha deciso di disabilitare tutta una serie di plugin che vengono compilati di default nel programma, come ad esempio l’integrazione nel browser.
Le ragioni indicate da Klode sono relative alla sicurezza, poiché i plugin di default, a suo dire, allargano le superfici di attacco per quanti installano il software.
Il problema è che fino all’ultimo aggiornamento quelle funzionalità erano presenti ed utilizzabili dagli utenti, i quali si sono trovati spiazzati dall’update (che ha riguardato solo Debian Testing, quindi non la versione più stabile, ma comunque molto utilizzata) tanto da aprire logicamente domande all’interno della pagina GitHub del progetto, per avere delucidazioni.
Klode ha risposto in questi termini alla richiesta di ripristino delle funzionalità rimosse:
I’m afraid that’s not going to happen. It was a mistake to ship with all plugins built by default. This will be painful for a year as users annoyingly do not read the NEWS files they should be reading but there’s little that can be done about that.
It is our responsibility to our users to provide them the most secure option possible as the default. All of these features are superfluous and do not really belong in a local password database manager, these developments are all utterly misguided.
Users who need this crap can install the crappy version but obviously this increases the risk of drive-by contributor attacks.Ho paura che ciò non accadrà. È stato un errore distribuire il pacchetto con tutti i plugin di default. Questo creerà una situazione complicata per un anno poiché gli utenti fastidiosamente non leggono i file NEWS che dovrebbero leggere, ma c’è poco che si possa fare al riguardo.
È nostra responsabilità nei confronti dei nostri utenti fornire loro l’opzione più sicura possibile di default. Tutte queste funzionalità sono superflue e non appartengono realmente a un gestore di database di password locale, questi sviluppi sono tutti completamente fuorvianti.
Gli utenti che hanno bisogno di questa schifezza possono installare la versione scadente ma ovviamente questo aumenta il rischio di attacchi da parte dei contributori.
Le risposte a questa decisa affermazione si dividono tra chi concorda con Klode e chi invece afferma che questa decisione arbitraria (oltre alla mal celata accusa di incapacità di sapersi gestire fatta agli utenti) sia totalmente sbagliata, in particolare poiché avviene all’interno di un progetto come Debian, dove ogni decisione viene sempre presa in maniera democratica.
La cosa poi ovviamente non è stata presa benissimo dagli sviluppatori di KeePassXC, i quali oltre ad affermare di non esser stati informati della scelta hanno consigliato agli utenti l’unica soluzione possibile, ossia utilizzare i pacchetti Flatpak.
Qualcosa nel frattempo però si è smosso, essendo infatti stato creato un pacchetto denominato keepassxc-full che contiene tutte le funzionalità il quale, pur non risolvendo il problema (poiché gli utenti che usano il vecchio pacchetto dovranno rimuoverlo in virtù di questo) quantomeno offre una alternativa.
Siamo pronti in ogni caso a scommettere come questa vicenda non si chiuda qui, poiché di fatto solleva un problema che potrebbe riguardare in generale l’intero progetto Debian.
Cosa succederebbe agli utenti finali se ogni maintainer prendesse decisioni simili?
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.