1 पॉइंट द्वारा GN⁺ 2024-10-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • WordPress.org ने WP Engine के लोकप्रिय प्लगइन Advanced Custom Fields(ACF) को “Secure Custom Fields” नाम से fork कर सार्वजनिक किया, जिससे प्लगइन के नियंत्रण को लेकर टकराव बढ़ गया
  • Matt Mullenweg ने व्यावसायिक upsell हटाने और सुरक्षा सुधारों को वजह बताया, लेकिन具体 सुरक्षा समस्या स्पष्ट नहीं है
  • इस कदम का आधार Plugin Directory Guideline 18 है, जो WordPress टीम को developer की सहमति के बिना प्लगइन हटाने या बदलने की अनुमति देता है
  • WP Engine की ACF टीम ने X पर जवाब दिया कि WordPress ने कभी भी प्लगइन निर्माता की सहमति के बिना “एकतरफा और जबरन” उसे अपने नियंत्रण में नहीं लिया है
  • WP Engine, Flywheel, ACF Pro ग्राहकों के अलावा अन्य users को updates जारी रखने के लिए ACF साइट से असली 6.3.8 version एक बार download करना होगा

ACF के Secure Custom Fields में बदलने की पृष्ठभूमि

  • WordPress.org ने WP Engine के लोकप्रिय प्लगइन Advanced Custom Fields(ACF) को “Secure Custom Fields” नाम के fork के रूप में सार्वजनिक किया
  • Matt Mullenweg ने कहा कि यह update ACF प्लगइन का fork है और “commercial upsell हटाने तथा security issues ठीक करने” के लिए किया गया है
  • यह घोषणा WordPress के co-founder और Automattic CEO Matt Mullenweg की WordPress.org पोस्ट के जरिए की गई
  • “Secure Custom Fields” WordPress.org के Advanced Custom Fields plugin page पर उपलब्ध कराया गया

Guideline 18 और कानूनी टकराव

  • Mullenweg ने इस कदम के आधार के रूप में Plugin Directory Guideline 18 का हवाला दिया, जो WordPress टीम को developer की सहमति के बिना प्लगइन हटाने या बदलने की अनुमति देता है
  • यह कदम WP Engine द्वारा हाल ही में Mullenweg और Automattic के खिलाफ दायर मुकदमे से जुड़ा है
  • Mullenweg ने बताया कि ऐसे हालात पहले भी आए हैं, लेकिन इस बार जितने बड़े पैमाने पर नहीं; उन्होंने इसे WP Engine के कानूनी हमले के कारण पैदा हुई “दुर्लभ और असामान्य स्थिति” बताया
  • उन्होंने यह भी जोड़ा कि वे उम्मीद नहीं करते कि दूसरे plugins के साथ भी ऐसा ही होगा

सुरक्षा सुधारों का अस्पष्ट दायरा

  • Mullenweg ने कहा कि सुरक्षा समस्याएं ठीक की जा रही हैं, लेकिन यह स्पष्ट नहीं है कि वे किन security issues की बात कर रहे हैं
  • इस update को “minimal” update बताया गया है
  • प्लगइन में बदलाव का औचित्य commercial upsell हटाने और security issues ठीक करने पर केंद्रित है

WP Engine ACF टीम का जवाब और users के लिए कदम

  • WP Engine की ACF टीम ने X पर जवाब दिया कि WordPress ने प्लगइन बनाने वाले व्यक्ति की सहमति के बिना कभी भी उसे एकतरफा और जबरन अपने नियंत्रण में नहीं लिया है
  • इसके बाद ACF टीम ने WP Engine, Flywheel, ACF Pro customers के अलावा अन्य users के लिए अलग update प्रक्रिया बताई
    • ACF साइट पर जाना होगा
    • ACF द्वारा पहले साझा की गई प्रक्रिया का पालन करना होगा
    • updates जारी रखने के लिए “असली 6.3.8 version” को एक बार download करना होगा

ACF प्लगइन की भूमिका

  • ACF एक ऐसा प्लगइन है जो website creators को मौजूदा सामान्य fields पर्याप्त न होने पर custom fields इस्तेमाल करने देता है
  • ACF overview के अनुसार custom fields WordPress में पहले से built-in feature के रूप में मौजूद हैं, लेकिन वे “बहुत user-friendly” नहीं हैं

1 टिप्पणियां

 
GN⁺ 2024-10-14
Hacker News की राय
  • आज एक ऐसे ग्राहक ने संपर्क किया जिससे 5 साल से कोई बात नहीं हुई थी; वे ACF और WPEngine द्वारा अधिग्रहित, अपलोड फ़ाइलों को S3 पर माइग्रेट करने वाला प्लगइन इस्तेमाल कर रहे हैं
    इस घटना से वे काफ़ी चिंतित हैं और सोच रहे हैं कि अगला बदलाव उनके बिज़नेस को कैसे प्रभावित करेगा, इसलिए अंत में वे WordPress छोड़ना चाहते हैं

    • जब बड़ी कंपनियां स्थिर विकल्पों का आकलन करती हैं, तो ऐसी घटनाएं काफ़ी आम होती हैं, और यह सिर्फ़ WordPress ही नहीं बल्कि पूरे open source को नुकसान पहुंचाती है
  • WordPress ने पहले plugin directory में fork plugins पर रोक लगाई थी, लेकिन अब वे खुद वही कर रहे हैं जो उन्होंने दूसरों के लिए प्रतिबंधित किया था: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • वह पोस्ट पैसे लेकर बेचे जाने वाले open source plugins को fork करने के मामलों से जुड़ी लगती है
      इस plugin को fork किया गया है, यह सही है, लेकिन ऐसा नहीं लगता कि premium features मुफ्त में दिए जा रहे हैं
      यह नैतिक बचाव नहीं, बल्कि तथ्यों का सुधार है
    • वह premium plugin नहीं है
  • Mullenweg ने पोस्ट में जिस security issue का ज़िक्र किया है, वह स्पष्ट नहीं है
    CVE कहां है, और original plugin को इस्तेमाल करते रहने में क्या जोखिम है—इस पर कोई detail नहीं है
    इससे बस यह चिंता पैदा होती है कि original सुरक्षित है या नहीं, यह पता नहीं
    “आगे से Secure Custom Fields एक non-commercial plugin होगा” — क्या इसका मतलब यह है कि WordPress WPEngine की revenue stream को निशाना बना रहा हो सकता है?
    अगर Pro option था, तो क्या वह हिस्सा closed source होने के कारण WordPress के fork codebase में नहीं है—यह भी स्पष्ट नहीं है: https://www.advancedcustomfields.com/pro/

    • बदले हुए हिस्से दिखाने वाला diff यहां है: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • लगता है Matt का इरादा ठीक यही बेचैनी पैदा करना है
      ऐसा लगता है कि वे WPEngine ग्राहकों को डराकर सेवा छोड़ने पर मजबूर करना चाहते हैं, और अब यह व्यक्तिगत लड़ाई जैसा दिख रहा है
    • मेरी समझ है कि ACF ने अपने कानूनी हितों के लिए सभी के dashboard में notice inject किया
      अगर यह उल्लंघन निकले तो हैरानी नहीं होगी
    • चूंकि WordPress GPL के तहत licensed है, इसलिए सभी plugins का license GPL-compatible होना चाहिए
      यह ACF Pro पर भी लागू होता है
  • यहां उपयुक्त पलटवार यह होगा कि WPEngine कम-से-कम एक भरोसेमंद third party ढूंढे और साथ मिलकर एक foundation बनाए, ताकि WordPress को सफलतापूर्वक fork किया जा सके

    • क्या यह सब शुरू ही इसलिए नहीं हुआ था कि Automattic शिकायत कर रहा था कि WPEngine WordPress development में ज़्यादा योगदान दिए बिना मुफ्त में competition कर रहा है?
    • मुझे लगता है Matt तो इसे काफ़ी स्वागतयोग्य ही मानेंगे
      उनकी चिंता यह है कि WP Engine WordPress में योगदान नहीं देता, इसलिए अगर वे fork और infrastructure maintain करने का फैसला करते हैं तो वे अब free-rider नहीं रहेंगे
      मेरी राय में Automattic भी उनके fork करने से खुश होगा
  • Matt द्वारा बनाई गई इस अव्यवस्था में अगर कोई बीच का रास्ता निकल भी आए, तो डर है कि community को हुआ नुकसान पहले ही हो चुका है
    ऐसा लगता है कि जिस मशहूर platform को लगभग सभी किसी-न-किसी तरह इस्तेमाल करते थे, उसकी लोकप्रियता गिरना अब बस समय की बात है

    • अच्छा हो या बुरा, आशावादी नज़रिए से देखें तो शायद यह अच्छी बात भी हो सकती है
      WordPress ने वर्षों में internet को बहुत कुछ दिया, लेकिन उसका बड़ा हिस्सा compromised sites और security issues भी था
      अगर यह घटना आधुनिक और सुरक्षित tools के जन्म या लोकप्रियता की ओर ले जाती है, तो कुल मिलाकर सबके लिए फायदा हो सकता है
    • यह थोड़ा वैसा सुनाई देता है जैसे Larry Garfield incident के समय Drupal फीका पड़ता जा रहा था
      बेशक, पहले लंबी भूमिका बनती है और फिर कोई मशहूर घटना विस्फोट की तरह सामने आती है, लेकिन WordPress में भी पहले से संकेत दिख सकते हैं
    • यह इस पर निर्भर करेगा कि उनकी PR response कितनी अच्छी है
      अभी तक देखने में current PR बहुत अच्छी नहीं लग रही
    • अच्छा है
      WordPress बस सबसे लंबा बौना ही है
  • उनकी legal counsel या तो बेहतरीन है या सबसे खराब, या फिर वे बस legal counsel को ignore कर रहे हैं

    • उनके पास अब तक देखी गई सबसे खराब social media team भी है: https://x.com/WordPress/status/1845121130207535524
    • कुछ लोग सोचते हैं कि वे कानून से ऊपर हैं
      यह Matt नाम का व्यक्ति मानसिक रूप से अस्थिर लगता है
    • Automattic के बयानों में से एक Neal Katyal ने जारी किया था, जो अमेरिका के Department of Justice में Acting Solicitor General रह चुके हैं
      इसलिए समस्या client की तरफ़ होने की संभावना ज़्यादा दिखती है
    • हालात उससे कहीं कम गंभीर हैं, लेकिन लगता है WordPress leadership को वकीलों की बात थोड़ा और सुननी चाहिए
  • Mullenweg मौजूदा users को supply chain attack के ज़रिए hijack कर रहे हैं

    • मुझे समझ नहीं आ रहा कि इसमें “attack” वाला हिस्सा कहां है
      मुझे लगा था कि definition में वही मुख्य बात होती है
  • इस तरह की हरकत से WordPress नाम मिट्टी में मिल रहा है

    • उन्होंने repository में Wpengine को package update करने से रोक दिया, और उसके बाद package maintainers ने security issues खोजे, लेकिन lock होने की वजह से उन्हें update के ज़रिए fix नहीं किया जा सका
      अजीब तरीके से देखें तो यह समझ में आता है
      wp.org खुद security holes बंद करने की मजबूरी में आ गया, और ऐसा करने के लिए उसे खुद patch करना पड़ा; इसी प्रक्रिया में उसे package अपने कब्ज़े में लेना पड़ा
      चौंकाने वाला तो है, लेकिन ज्ञात और सार्वजनिक security vulnerabilities को यूं ही छोड़ देने से शायद बेहतर था
  • अब यह बस साधारण तौर पर दुखद लगने लगा है
    अफ़सोस है कि किसी कम मनमौजी ecosystem का तुलनीय विकल्प नहीं है

  • पिछली Hacker News चर्चा: https://news.ycombinator.com/item?id=41821400