Szerző: Voith Hunor

2015. május 28. 12:00

Adware-be csomagolta a GIMP-et a SourceForge

A GIMP-Win fejlesztője másfél éve hagyta ott a SourceForge-ot, mert nem értett egyet az oldal reklámozási gyakorlatával. A fiók feletti ellenőrzést most - elhagyatottságra hivatkozva - átvette a SourceForge, és a népszerű ingyenes képszerkesztőt adware-es telepítőbe csomagolta.

Átvette az ellenőrzést a GIMP ingyenes és nyílt forrású képszerkesztő windowsos változatának SourceForge-os disztribúciós fiókja felett a SourceForge, majd a szoftvert egy reklámokkal megpakolt telepítőbe csomagolta. Az Ars Technica szerint a windowsos változatért felelős fejlesztő, Jernej Simončič tegnap vette észre, hogy már nem fér hozzá a Gimp-Win fiókhoz, és a projekt tulajdonosaként már nem ő, hanem egy sf-editor1 felhasználó van feltüntetve. Röviden ennyi lenne egy újabb adware-es sztori, de ha kicsit jobban az ügy mélyére ásunk, érdekes dolgot fedezhetünk fel.

Ahhoz, hogy a lépés körül kialakult felháborodást megértsük, vissza kell lépnünk néhány évet. A GNU Image Manipulation Program (GIMP) 2013 novemberében döntött úgy, hogy elhagyja a képszerkesztő windowsos változatának addig első számú disztribúciós platformjaként használt SourceForge-ot, mert az oldalt fenntartó és üzemeltető Slashdot Media hirdetési politikája egyre agresszívebbé vált. A kódtár oldalon hosztolt szoftver letöltésére szolgáló gombot már alig lehetett megtalálni a reklámok között, a SourceForge pedig egy akkori állítása szerint explicite opt-in DevShare programot is elindított, melynek keretében az abba beleegyező fejlesztők szoftvereit harmadik fél termékeit reklámozó (és szintén opt-in módon telepítésüket felkínáló) telepítőkbe csomagolta. A GIMP fejlesztői ezzel nem akartak azonosulni, így a windowsos telepítő elsődleges letöltőhelyét is saját szerverükre mozgatták át, a SourceForge-os fiókot viszont a rengeteg rá mutató link miatt, kényszerűségből megtartották.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A telepített program frissítését viszont már meg tudták oldani más forrásból, így a SourceForge-on elhelyezett telepítőt nem frissítették – a SourceForge szerint immár másfél éve. A kódtár oldal közleménye szerint ez volt az ok, amiért átvette a fiók felett a felügyeletet, hogy a windowsos GIMP-et tőlük letöltők is aktuális verziót kapjanak. Egy huszárvágással viszont a szoftvert harmadik fél termékeit reklámozó és opt-in módon telepítő installerbe csomagolták be – de nem a fentebb említett DevShare program keretein belül (hiszen ahhoz a fejlesztők beleegyezése kellett volna), hanem teljesen saját hasznukra.

Forrás: Ars Technica

További csavar, hogy úgy tűnik, a SourceForge az utóbbi időben számos népszerű nyílt forrású, de a fejlesztők által az oldalon amúgy elhagyatott projekt “kezelését” vette át, például az Apache HTTP szerverét, az OpenOffice-ét, a VLC médialejátszóét, a Firefoxét, népszerű fejlesztőeszközökét. A próbák alapján ezek még tiszták, ugyanakkor a GIMP példája azt mutatja, könnyen lehet, hogy a jövőben ezek is elkezdik megkapni az új ruhát. A SourceForge magyarázata szerint az elhagyatott fiókokat tükörként (mirror) saját hatáskörben üzemeltetik tovább (ilyenkor az adminisztrációs jogosultságokat is elveszik a korábbi fióktulajdonosoktól), és esetenként “könnyen elutasístható”, harmadik féltől származó ajánlatokat is mellékelnek a szoftverekhez. Állításuk szerint a GIMP-Win fejlesztője az incidens óta nem kérte vissza a fiók felügyeleti jogát – ugyanakkor ez nem meglepő, hiszen a SourceForge nem változtatott azon a gyakorlaton, ami miatt Simončič felfüggesztette tevékenységét az oldalon.

Az új installert nem is direktben a SourceForge, hanem a goodbundlecenter.com tartalomszolgáltatói oldal hosztolja, a domén bejegyzője az izraeli Galcomm. Az installer által használt tanúsítvány (CA) a Tel Aviv-i Funnel Delivery (Fried Cookie Ltd.) részére lett kibocsátva idén februárban – a cég adware-ek terjesztésével foglalkozik, telepítőjét számos antivírus így is azonosítja.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról