ग्नोम डेव्ज म्हणतात की सिसॅडमिनने “प्रोजेक्टला गंधित केले” इव्होल्यूशन मेल प्रायव्हसी रिपोर्टसह
गेल्या आठवड्यात, सिसॅडमिन या माइक कार्डवेलने इव्होल्यूशन ईमेल क्लायंटमध्ये गोपनीयतेच्या समस्येचा अहवाल देण्याच्या आपल्या अनुभवाबद्दल लिहिले. आपण ते गमावल्यास, येथे एक द्रुत सारांश आहे: त्याला आढळले की डीएनएस प्रीफेचिंग नावाच्या वैशिष्ट्याद्वारे उत्क्रांती वापरकर्त्याच्या क्रियाकलापात गळती करते. जेव्हा त्याने त्याचा अहवाल दिला, तेव्हा जीनोम विकसकांनी त्याला अपस्ट्रीम लायब्ररी, वेबकिटमधील बगकडे संदर्भित केले आणि त्याचे तिकीट बंद केले.
ईमेलमध्ये एक समाविष्ट होऊ शकते दुवा HTML टॅग सह rel वर सेट केलेले विशेषता dns-prefetch आणि मध्ये क्रॉस-ओरिजन डोमेन href विशेषता. हे ब्राउझर किंवा ईमेल क्लायंटला वेळेपूर्वी डोमेनचा आयपी पत्ता सोडविण्यासाठी सांगते.
सामान्यत: कोणत्याही दुर्गम सामग्रीसाठी, वेबकिटजीटीके (वेब रेंडरिंग इंजिन इव्होल्यूशन वापरते) नावाचे सिग्नल उत्सर्जित करते WebPage::send-request? हे “लोड रिमोट सामग्री” सेटिंगच्या आधारे कनेक्शन अवरोधित करायचे की नाही हे इव्होल्यूशनच्या कोडला ठरवू देते, जे अक्षम केले जाते तेव्हा ट्रॅकर्स आणि इतर नॅस्टीजला घरी फोन करण्यापासून थांबवतात.
येथे बग असा आहे की या प्रीफेच विनंत्यांसाठी, वेबकिट फक्त पुढे जाते आणि ते सिग्नल पाठविल्याशिवाय डीएनएस क्वेरी बनवते.
हे इव्होल्यूशनच्या गोपनीयतेचे संरक्षण पूर्णपणे बायपास करते. म्हणून एखादा प्रेषक आपण त्यांचे ईमेल उघडला की नाही हे पाहू शकतो, जेव्हा आपण ते उघडले आणि आपण कधीही संमती न देता आपल्या डीएनएस रिझोल्व्हरचा आयपी.
मायकेल कॅटानझारो, एक वेबकिट विकसक म्हणून, बग धागामध्ये प्रख्यातद डीएनएस-प्रीफॅचिंग सेटिंग सक्षम करा इव्होल्यूशन अक्षम करण्यासाठी वापरते ही आवृत्ती २.4848 पासून कमी केली गेली आहे, अशा प्रकारे यापुढे इंजिनद्वारे आदर केला जात नाही.
येथूनच गोष्टी मनोरंजक होतात. विकसकांची स्थिती अशी होती की बग ते वापरत असलेल्या लायब्ररीत असल्याने, उत्क्रांतीच्या आत निराकरण करणे ही त्यांची समस्या नाही. मिलान क्रा, एक उत्क्रांती विकसक, वेळ घेतला “अनुप्रयोग लायब्ररी वापरतात, अनुप्रयोगांचे त्यांचे अवलंबन आहेत” आणि हे स्पष्ट करण्यासाठी की योग्य ठिकाणी एक निराकरण घ्यावे लागेल.
परंतु त्यांच्या स्वत: च्या उत्पादनाची जबाबदारी घेण्यास नकार म्हणून हे पाहून कार्डवेल रागावले. त्यांनी दावा केला की त्यांच्या वापरकर्त्यांचे संरक्षण करण्याची जीनोम डेव्हची जबाबदारी आहे आणि अपस्ट्रीम फिक्सच्या प्रतीक्षेत असताना कार्यसंघ घेऊ शकतील अशा क्रियांची यादी प्रदान केली:
- एकतर यूआयमध्ये किंवा डाउनलोड पृष्ठावरील समस्येबद्दल लोकांना चेतावणी द्या.
- लायब्ररीचे निराकरण करण्यासाठी अपस्ट्रीम प्रोजेक्ट दाबा.
- लायब्ररी काटा आणि ते स्वतः निश्चित करा.
- भिन्न लायब्ररीवर स्विच करा.
कार्डवेलने लिंक टॅगचा वापर करून आणखी वाईट दोष शोधल्यानंतर मागे व पुढे कुरुप झाला rel वर सेट करा preconnect, जे वापरकर्त्याचा वास्तविक आयपी पत्ता केवळ त्यांच्या डीएनएस सर्व्हरचा नाही तर गळते. त्याने विकसकांना सूचित केले की त्याने ते जोडले ईमेल गोपनीयता परीक्षकअशा प्रकारच्या समस्या शोधण्यासाठी त्याने तयार केलेले एक साधन.
परंतु जीनोम विकसकांनी त्याच्या “निष्क्रिय-आक्रमक” वृत्ती किंवा त्याच्या सार्वजनिक पदांचे कौतुक केले नाही. एक विकसक त्याच्यावर “प्रोजेक्टचा स्मीयरिंग” असल्याचा आरोप केला त्याच्या ब्लॉगवरील पोस्टसह, त्याला “हक्कदार” म्हटले आणि त्यांचे अहवाल “प्रतिकूल आणि स्पष्टपणे डिमोटिव्हिंग” असल्याचे सांगितले.
आपण या प्रकल्पावर सकारात्मक परिणाम करू इच्छित असल्यास, कृपया वेबकिटजीटीके वर पॅच पाठवा. तक्रारी, विशेषत: स्टॅकमधील चुकीच्या ठिकाणी, अतिरेकी विकसकांना त्रास देण्याशिवाय आणि त्यांना बचावात्मक वर ठेवण्याशिवाय काहीही मिळवत नाही, विशेषत: जेव्हा त्यांनी आधीच शांतपणे आपल्याला एकाधिक मार्गांनी स्पष्ट केले आहे जेथे समस्या योग्य प्रकारे निश्चित करणे आवश्यक आहे.
या कथेला एक अंत (आत्तासाठी) सापडला आहे, कारण विकसकांनी धागा लॉक केला आहे, कार्डवेलने असा दावा केला आहे की तो होता कारण त्याने “त्यांच्या भावना दुखावल्या”? द वेबकिट मध्ये बगऑगस्ट 2023 मध्ये प्रथम नोंदविला गेला, तो खुला आहे.
