KeePassXC के Debian मेंटेनर ने सभी नेटवर्क फीचर हटा दिए

 (fosstodon.org)
1 पॉइंट द्वारा GN⁺ 2024-05-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Debian के KeePassXC पैकेज से फीचर हटाने पर विवाद

  • Debian के KeePassXC पैकेज मेंटेनर ने एकतरफा तरीके से पैकेज से लगभग सभी फीचर हटाने का फैसला किया।
  • Debian sid में डिफ़ॉल्ट keepassxc पैकेज अब networking, SSH agent, browser plugin, fdo secret storage जैसे फीचर हटाकर केवल न्यूनतम फीचर शामिल करेगा।
  • अगर ये फीचर चाहिए, तो keepassxc-full पैकेज पर स्विच करना होगा।

फीचर हटाने के कारण पर विवाद

  • Debian bug report में इसकी वजह security issue बताई गई है।
  • लेकिन KeePassXC टीम का कहना है कि सिर्फ networking ही नहीं, बल्कि YubiKey support, auto-type, browser integration जैसे लगभग सभी फीचर हटाना जरूरत से ज्यादा है।
  • यह भी राय है कि फीचर हटाने से vulnerabilities कम होने के बजाय, उपयोगकर्ताओं के लिए जरूरी फीचर ही खत्म हो रहे हैं।

Debian का रुख और प्रतिक्रिया

  • Debian का कहना है कि liblzma compromise घटना के बाद सुरक्षा के लिए unused code और अनावश्यक फीचर हटाना सबसे अच्छा कदम है।
  • लेकिन KeePassXC टीम से पहले से सलाह-मशविरा किए बिना यह फैसला एकतरफा लेने पर आलोचना हो रही है।
  • उपयोगकर्ताओं की उलझन कम करने के लिए keepassxc से keepassxc-full में बदलने वाला transitional package देने का फैसला किया गया है।

GN⁺ की राय

  • सुरक्षा के लिए अनावश्यक फीचर हटाना अपने आप में बुरा नहीं है, लेकिन पैकेज का नाम बदले बिना पुराने उपयोगकर्ताओं के इस्तेमाल वाले फीचर अचानक हटा देना अच्छा तरीका नहीं है।
  • Debian जैसी distribution में पैकेज नीति बदलते समय संभव हो तो upstream developers से सलाह करनी चाहिए और उपयोगकर्ताओं को होने वाली उलझन कम करने की कोशिश करनी चाहिए।
  • full-featured package और minimal package को अलग-अलग देना ठीक है, लेकिन उनके नाम साफ़ तौर पर अलग होने चाहिए ताकि उपयोगकर्ता अपनी पसंद से चुन सकें।
  • किसी दूसरे password manager को देखना भी एक तरीका है, लेकिन KeePassXC में ज्यादा सक्रिय योगदान और सहयोग के जरिए समस्या सुधारने की कोशिश करना भी महत्वपूर्ण है।
  • सिर्फ इसलिए कि यह free software है, ऐसा नहीं कि package maintainer मनमाने ढंग से फैसला करे; उपयोगकर्ता और developer community की राय का सम्मान करना और पारदर्शी संवाद बनाए रखना जरूरी है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-05-12
Hacker News की राय

Hacker News टिप्पणियों का सारांश

1. upstream project की सुविधाएँ हटाकर उसी नाम से वितरित करने पर चिंता

  • upstream project में लागू की गई सुविधाएँ हटाकर उसी नाम से वितरित करना समस्याजनक हो सकता है
  • अगर इस दिशा में जाना है, तो fork करके किसी दूसरे नाम से वितरित करना चाहिए
  • Debian के Chromium package maintainer द्वारा पहले मनमाने ढंग से extension installation अक्षम करने के मामले का उल्लेख

2. सुरक्षा के दृष्टिकोण से network सुविधाएँ हटाना उचित है, ऐसा मत

  • password manager में network सुविधाएँ और browser integration संभावित vulnerability बन सकते हैं
  • network-संबंधित सुविधाओं के बिना केवल भरोसेमंद database इस्तेमाल किया जाए, तो vulnerability मिलने पर भी उसका exploit करना संभव नहीं होगा
  • network सुविधाओं वाला पूरा version package Debian में मौजूद है, इसलिए इच्छुक उपयोगकर्ता keepassxc-full इंस्टॉल कर सकते हैं
  • हालांकि upstream को "घटिया" कहना उत्पादक नहीं है, और keepassxc-lite तथा keepassxc-full अधिक उपयुक्त package नाम हो सकते हैं

3. "full" और "minimal" दोनों version package करना सही विकल्प है, ऐसा मत

  • दोनों versions के बीच Conflicts संबंध परिभाषित करना चाहिए और Provides व Replaces tags का उपयोग करके उपयोगकर्ताओं को विकल्प देना चाहिए
  • यह स्पष्ट विकल्प क्यों नहीं चुना गया, इस पर सवाल उठाया गया

4. Arch Linux में उपयोगकर्ता की सहमति के बिना passim package पर निर्भर बना देने का मुद्दा

  • fwupd package को उपयोगकर्ता की सहमति के बिना passim पर निर्भर रहने के लिए सेट किया गया है
  • passim 0.0.0.0:27500 पर web server चलाता है और vulnerability से भरे GnuTLS का उपयोग करता है
  • ऐसी configuration के exploit होने की आशंका पर चिंता जताई गई

5. न्यूनतम आश्चर्य के सिद्धांत के अनुसार, प्रलेखित जोखिम के बिना core सुविधाएँ अक्षम नहीं करनी चाहिए, ऐसा मत

  • KeePassXC की सुविधाएँ उपयोगकर्ता के स्पष्ट हस्तक्षेप के बिना vulnerability का कारण नहीं बनतीं
  • browser integration सुविधा clipboard access की तुलना में कहीं अधिक सुरक्षित है, और यह project की vision के भी विपरीत नहीं है
  • इस बदलाव से लाभ पाने वाले उपयोगकर्ता बहुत कम हैं, जबकि browser integration इस्तेमाल करने वालों के लिए यह गंभीर असुविधा पैदा करता है

6. मौजूदा उपयोगकर्ताओं को प्रभावित किए बिना अंतर किया जा सकता था, इसलिए यह Debian package maintainer का गलत निर्णय था, ऐसा दावा

  • networking सुविधा के बिना KeePassXC उपलब्ध कराना अच्छा है, लेकिन browser integration को niche सुविधा मानना वास्तविकता से कटा हुआ विचार है
  • Debian के KeePassXC उपयोगकर्ताओं में आधे से अधिक लोग इस निर्णय से चौंक जाएंगे
  • अंततः यह package maintainer का निर्णय है, लेकिन अच्छा निर्णय नहीं है

7. KeePassXC maintainer की राय का उद्धरण

  • नई packaging पद्धति के कारण लोगों का workflow टूट गया है, ऐसी रिपोर्ट मिली है
  • ऐसा मामला भी था जहाँ Yubikey सुविधा हट जाने से उपयोगकर्ता database तक पहुँच नहीं पा रहा था
  • जो लोग अपने सबसे महत्वपूर्ण secrets तक पहुँच खो देते हैं, वे घबराहट के क्षण में अविवेकपूर्ण व्यवहार कर सकते हैं

8. upstream project की मंशा से अलग package बदला जाए, तो उसे दूसरे नाम से वितरित करना चाहिए, ऐसा मत

  • अगर downstream maintainer package में बदलाव करे, तो उसे दूसरे नाम से वितरित करना चाहिए और संशोधित version के कारण आने वाली सभी bug reports संभालनी चाहिए

9. नवीनतम चर्चा GitHub issue में देखी जा सकती है

10. शीर्षक गलत है, ऐसा संकेत

  • मूल पोस्ट में कहा गया था कि सिर्फ networking सुविधाएँ नहीं, बल्कि सभी सुविधाएँ हटा दी गई थीं, और यह सच है
  • offline सुविधाओं सहित सभी optional सुविधाओं को build के दौरान बंद करने के लिए सेट किया गया था