Скандал в мире GNOME: как отчёт об уязвимости Evolution Mail привёл к обвинениям в "очернении проекта"

  • Категория: Linux
  • Дата: 18 июля 2025 г. в 16:30
  • Просмотров: 22

Обложка

Представьте себе ситуацию: вы обнаружили серьёзную проблему в программе, которой пользуетесь каждый день. Сообщаете об этом разработчикам, а в ответ получаете обвинения в "очернении проекта". Именно это и произошло с системным администратором Майком Кардвеллом, когда он попытался сообщить о проблеме конфиденциальности в популярном почтовом клиенте Evolution.

Что произошло?

Кардвелл обнаружил, что Evolution, оказывается, "сливает" информацию о действиях пользователей через функцию под названием DNS prefetching. Проще говоря, когда вы открываете письмо, Evolution заранее "спрашивает" у DNS-сервера IP-адрес домена, указанного в письме.

  • DNS prefetching – это технология, которая позволяет браузеру или почтовому клиенту заранее узнавать IP-адрес домена, чтобы ускорить загрузку страницы или письма.

Это делается для ускорения загрузки контента, но, как выяснилось, может быть использовано для отслеживания пользователей. Злоумышленник может внедрить в письмо скрытую ссылку, и когда вы откроете письмо, он узнает, что вы это сделали, когда и с какого IP-адреса.

Проблема в том, что Evolution должен блокировать такие запросы, если у вас отключена опция "Загружать удаленный контент". Но из-за ошибки в используемой библиотеке WebKitGTK (она отвечает за отображение веб-страниц в Evolution), DNS prefetching работал в обход этой защиты.

Реакция разработчиков GNOME: "Это не наша проблема!"

Разработчики GNOME отреагировали на сообщение Кардвелла довольно своеобразно. Они заявили, что поскольку ошибка находится в сторонней библиотеке, то и исправлять её должны не они, а разработчики этой библиотеки.

Разработчик Evolution, Милан Црха, подчеркнул, что "приложения используют библиотеки, у приложений есть свои зависимости", и исправление должно быть сделано в правильном месте.

Кардвелл был разочарован такой позицией. Он считал, что разработчики GNOME несут ответственность за защиту своих пользователей и должны были принять меры, даже если проблема находится не в их коде. Он предложил несколько вариантов решения проблемы:

  • Предупредить пользователей об уязвимости.
  • Активно требовать исправления от разработчиков WebKitGTK.
  • Создать собственную версию библиотеки с исправлениями.
  • Перейти на другую библиотеку.

Конфликт набирает обороты

Ситуация накалилась, когда Кардвелл обнаружил ещё одну, более серьёзную уязвимость, связанную с тегом ``. Эта уязвимость позволяла узнать реальный IP-адрес пользователя, а не только адрес его DNS-сервера. Он сообщил об этом разработчикам и добавил информацию об уязвимости в свой инструмент Email Privacy Tester.

И вот тут-то разработчики GNOME не выдержали. Один из них обвинил Кардвелла в "очернении проекта" и заявил, что его сообщения "контрпродуктивны и, честно говоря, демотивируют".

Если вы хотите оказать положительное влияние на этот проект, пожалуйста, отправьте патчи в WebKitGTK. Жалобы, особенно не в том месте стека, не достигают ничего, кроме раздражения перегруженных разработчиков и перевода их в оборонительную позицию, особенно когда они уже спокойно объяснили вам несколькими способами, где проблема должна быть должным образом исправлена.

В итоге, разработчики заблокировали ветку обсуждения, а Кардвелл заявил, что это произошло потому, что он "задел их чувства". Сама же ошибка в WebKit, о которой впервые сообщили ещё в августе 2023 года, до сих пор не исправлена.

Что это значит для нас?

Эта история показывает, как важно, чтобы разработчики программного обеспечения прислушивались к сообщениям об уязвимостях и оперативно реагировали на них. Даже если проблема находится в сторонней библиотеке, разработчики основного продукта не должны снимать с себя ответственность за безопасность своих пользователей.

Важно помнить, что сообщение об уязвимости – это не "очернение проекта", а помощь в его улучшении.

Вместо заключения

Конфликт между системным администратором и разработчиками GNOME поднимает важные вопросы об ответственности, коммуникации и приоритетах в мире разработки программного обеспечения. Надеемся, что эта история станет уроком для всех и поможет сделать наши любимые программы более безопасными и надёжными.

Мнение редакции MSReview: Конфликт между системным администратором и разработчиками GNOME подчеркивает важность открытого и конструктивного диалога при решении проблем конфиденциальности в программном обеспечении. Хотя важно, чтобы разработчики признавали и устраняли уязвимости в своих продуктах, также важно, чтобы отчеты об ошибках предоставлялись таким образом, чтобы это способствовало решению проблем, а не вызывало антагонизм. В данном случае, возможно, обе стороны могли бы подойти к этому вопросу с большим пониманием и сотрудничеством.

MSReview Источник:
www.neowin.net
  • 0

Похожие новости
Windows 11
Дания отказывается от Microsoft: курс на независимость от IT-гигантов?
Дания отказывается от Microsoft: курс на независимость от IT-гигантов?
Amarok возвращается: легендарный аудиоплеер получил второе дыхание
Amarok возвращается: легендарный аудиоплеер получил второе дыхание
Заглядываем в будущее Ubuntu: вторая предварительная версия Questing Quokka уже здесь!
Заглядываем в будущее Ubuntu: вторая предварительная версия Questing Quokka уже здесь!
Linux 6.16-rc4: Фокус на исправлениях файловой системы и драйверов
Linux 6.16-rc4: Фокус на исправлениях файловой системы и драйверов
Больше никаких размытых экранов! KDE улучшает масштабирование в Wayland
Больше никаких размытых экранов! KDE улучшает масштабирование в Wayland
Linux 6.16 идёт на поправку: Линус Торвальдс устранил неприятную ошибку
Linux 6.16 идёт на поправку: Линус Торвальдс устранил неприятную ошибку



  • Комментарии
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.