אחד החידושים בוורדפרס 2.3 הוא היכולת של המערכת לבדוק קיום של גרסא חדשה, של עצמה ופוטנציאלית גם של הפלאגינים שמותקנים.
הבעיה עם הפיצ'ר המתבקש הזה הוא שוורדפרס שולחת בלי צורך אמיתי את הURL של הבלוג שלכם אל ספינת האם.
אין סיבה אמיתית לשלוח את המידע, ואין אפשרות לכבות את זה בלי לשנות את הקוד או להתקין פלאגינים שנכתבו במיוחד בשביל לנטרל את הפונקציונליות הזו.
כשנודע על הפיצ'ר הריגולי החדש, קמה מהומה קטנה ברשימה של wp-hackers, ואני בתוכה, וביקשנו הסברים לצורך לשלוח נתונים שמאפשרים לזהות את בעל הבלוג.
מאט נפנף את המודאגים ("תעשו פורק", "תתקינו פלאגינים", "זה לא מזיק", "אולי יום אחד נצטרך את זה") ולא ממש נתן הסברים מספקים.
הזהרתי שזה יתפוצץ, וכך היה.
אני אישית מתכוון לנטרל את הפעולה הזו פשוט על ידי שינוי הקוד כך שישלח URL אחר אל ספינת האם, אולי את זה של הבלוג של מאט, כי הרי זה לא מזיק.
חוץ מעניין הפרטיות, יש פה גם סוגית אבטחה:
מה קורה אם מישהו עויין ישים את הידיים שלו על רשימת כל הבלוגים של וורדפרס, כשליד כל בלוג יש גם את הגרסא, כדי להקל על מציאת קורבנות?
כמפתח תוכנה בעצמי אני מודע היטב לצורך לדעת כמה שיותר מידע על ההתקנות של התוכנה שלי, ואפילו הוספתי לFireStats אפשרות לשלוח לי מידע.
ההבדל הוא שהמידע נשלח אלי רק בעקבות הסכמה מפורשת של המשתמש, ושהמידע שנשלח אלי הוא אנונימי.
למעשה, הצעתי ברשימת התפוצה של wp-hackers לעשות את אותו דבר (ואפילו לתרום קוד אם צריך) עוד לפני שהתפוצץ כל העניין, והרבה אנשים הביעו עניין ברעיון.
אף אחד, כולל מטורפי הפרטיות הגדולים ביותר לא התנגד להוסיף את האפשרות הזו כל עוד היא בגדר אפשרות, והיא מופעלת רק בעקבות אישור מפורש של המשתמש.
מאט העדיף להתעלם, ולהשאיר את המימוש הפולשני ששולח בשקט מידע בלי אפשרות מובנית לבטל את הפעולה.
אני חושב שהגלים מההתנהלות הזו רק מתחילים.
מדאיג.