Alfonso Maruccia

WordPress, scintille legali in vista?

Il founder del CMS pių popolare medita denunce nei confronti di un membro della community, colpevole di aver attentato alla licenza GPL con cui WordPress viene distribuito

Roma - Nuvole di tempesta si affollano sul futuro di WordPress: Matt Mullenweg, creatore originario della popolare piattaforma di blogging - ora evolutasi in CMS a tutto tondo - è in rotta con lo sviluppatore Chris Pearson, autore del popolare template Thesis. Il tema di Pearson è distribuito in violazione della licenza GPL, dice Mullenweg, ma Pearson ribatte alle accuse e quasi sfida il "rivale" a imbarcarsi in una causa legale che potrebbe avere effetti pericolosi su WordPress e il movimento open source tutto.

La licenza GPL con cui viene distribuito il codice WordPress è un asset fondamentale per il successo della piattaforma, dice Mullenweg, è la sua "Carta dei Diritti" che ne protegge le sue "libertà basilari" e quindi protegge la vasta community WordPress nella sua interezza (sviluppatori, designer, utenti, business).

Thesis, al contrario, non viene distribuito con la stessa licenza perché il suo creatore sostiene che "agisce da solo completamente al di fuori di WordPress". "Tutto quello che WordPress fa è prendersi carico dei diritti di accesso e di lettura al database", dice Pearson, e quindi la licenza del CMS non può "determinare tutto il resto", nemmeno un altro progetto che ha lo scopo di lavorare accanto a WordPress superandone "ampiamente" gli obiettivi.
Mullenweg, neanche a dirlo, si trova su una posizione diametralmente opposta: per l'imprenditore/tecnologo "WordPress è costruito sulla licenza GPL, la quale ha permesso a centinaia di migliaia di persone di sviluppare incredibili business a partire da esso". "Tutto quello che viene costruito sulla licenza GPL dev'essere a sua volta distribuito con la licenza GPL", dice Mullenweg, perché "è così che il sistema WordPress funziona".

Le parti sono insomma più che mai distanti, e se a Mullenweg non conviene citare in giudizio un membro della community WordPress è altrettanto chiara la volontà di difendere la validità della redistribuzione del codice GPL derivato da un altro prodotto GPL. Un'eventuale causa legale potrebbe avere conseguenze pericolose non solo per WordPress ma anche per l'intero panorama del software a codice aperto.

Alfonso Maruccia
28 Commenti alla Notizia WordPress, scintille legali in vista?
Ordina
  • Forse più che un tema è una versione di WP modificata e redistribuita sotto diversa licenza?
    Ubunto
    1350
  • no, è un tema estremamente avanzato.

    il tizio dice delle cose da fuoco, in effetti - tipo che le licenze/ la legge sono stretchable lol (quindi verrebbe da pensare che a lui va bene se la gente scarica il suo tema via torrent)

    se non chè qualcuno paragona un tema ad un codec per linux che non ha costrizioni di licenza.

    peròperò è saltato fuori che alcuni dei componenti del tema/framework utilizzano parti consistenti di alcuni file di wordpress stesso, finendo per violare la gpl in modo inequivocabile
    non+autenticato
  • Qualcuno non ha mai fatto un giro su envato... la di temi non-gpl ce ne sono centinaia e centinaia...
  • Sebbene wordpress sia un prodotto molto usabile, piuttosto che alle cause legali mi concentrerei sul codice perché un CMS che "vuoto" (ovvero appena installato) consuma nel front-end qualcosa come 12 mb di memoria errotti e nel backend arriva a consumare anche 20mb è un CMS che dovrebbe essere riscritto totalmente da zero (srovoliamo sui tempi di esecuzione, anch'essi elevati considerando che ho APC in locale e che tutto sta girando su un Q6600 che non sta facendo nulla a parte questo)

    :cry:
    non+autenticato
  • infatti non lo vedo bene come CMS... lo vedo bene solo per blogging amatoriale e semiprofessionale...
  • Alternative???
    non+autenticato
  • - Scritto da: Difensore
    > Alternative???

    scriversi un cms o blog da soli partendo da zero e implentando strettamente il minimo necessario per rendere il tutto veloce ed esente da bug nei limiti del possibile.

    l'utente medio usera' di e no il 5% delle features presenti in un cms con la conseguenza che il sito avendo piu' codice sara' piu' lento e piu' hackabile (perche' ci saranno piu' vettori di attacco)
    non+autenticato
  • con questo non dico che wordpress faccia schifo anzi, e' molto comodo e lo uso su molti blog ma non mi affiderei mai ad un cms opensource per progetti critici che riceveranno tentativi di exploit giornalieri, in quei casi sono molto meglio soluzioni create su misura
    non+autenticato
  • - Scritto da: giuffre
    > con questo non dico che wordpress faccia schifo
    > anzi, e' molto comodo e lo uso su molti blog ma
    > non mi affiderei mai ad un cms opensource per
    > progetti critici che riceveranno tentativi di
    > exploit giornalieri, in quei casi sono molto
    > meglio soluzioni create su
    > misura

    scusami, benché io sia di mentalità molto aperta vedo la motivazione (scusa se lo dico così) un pò "fiacca": i tentativi di exploit giornalieri li riceverai sia con i CMS opensource sia con quelli closed source perché non è l'essere aperto o chiudo che invogliera i cracker a far danno ma sarà la diffusione di quel dato prodotto.

    Potrei capire se mi dici che non usi prodotti come Drupal perché, che so, l'assistenza commerciale fornita è scadente (per fare un esempio), ma la motivazione che dai, personalmente, non la vedo molto valida.
    non+autenticato
  • Neppure io sono d'accordo con giuffre,

    la caratteristica di essere opensource permette sì al cracker di scovare dentroil codice falle da utilizzare, ma anche alla community che sviluppa quel prodotto di trovarle loro e fornire tempestivamente la patch.

    Ho usato CMS opensource da tanto tempo. E quello che ho dovuto fare oltre al lavoro di installazione e personalizzazione è stato seguire periodicamente i siti con news e bug fix, magari aggregando i relativi rss.
    Uscito il bug c'era quasi subito la patch, scaricata ed installata non ho mai avuto defacciamenti, intrusioni o problemi di sorta...
    iRoby
    9147
  • purtroppo e' da anni che periodicamente saltano fuori nuove falle in wordpress a dimostrazione che il codice non e' gestito nel modo migliore o e' ormai diventato troppo ampio. E' un dato di fatto che al crescere delle righe di codice aumentino anche i possibili bug quindi un cms fatto su misura che fa SOLO QUELLO CHE SERVE AL PROPRIO SITO e nulla di piu' (ovviamente se scritto da persone competenti) sia intrinsecamente piu' sicuro di uno 'general purpose'.

    Un altro punto critico di cms come wordpress o drupal sono i plugin, spesso scritti da ragazzini che non hanno idea di come si scriva del codice sicuro: seguendo bugtraq e mailing list simili se ne vedono di tutti i colori per quanto riguarda gli exploit verso i plugin.

    Ci sono casi di plugin nei quali non era presente nessun controllo sull'input degli utenti e la community ne e' venuta a conoscenza solo dopo mesi e solo perche' il white hat di turno ha deciso di rendere pubblica la falla. Di fronte a casi del genere chi continua a credere nella maggiore sicurezza dell'opensource mi pare leggermente ingenuo
    non+autenticato
  • - Scritto da: giuffre
    > purtroppo e' da anni che periodicamente saltano
    > fuori nuove falle in wordpress a dimostrazione
    > che il codice non e' gestito nel modo migliore o
    > e' ormai diventato troppo ampio. E' un dato di
    > fatto che al crescere delle righe di codice
    > aumentino anche i possibili bug quindi un cms
    > fatto su misura che fa SOLO QUELLO CHE SERVE AL
    > PROPRIO SITO e nulla di piu' (ovviamente se
    > scritto da persone competenti) sia
    > intrinsecamente piu' sicuro di uno 'general
    > purpose'.
    >
    > Un altro punto critico di cms come wordpress o
    > drupal sono i plugin, spesso scritti da ragazzini
    > che non hanno idea di come si scriva del codice
    > sicuro: seguendo bugtraq e mailing list simili se
    > ne vedono di tutti i colori per quanto riguarda
    > gli exploit verso i plugin.
    >
    >
    > Ci sono casi di plugin nei quali non era presente
    > nessun controllo sull'input degli utenti e la
    > community ne e' venuta a conoscenza solo dopo
    > mesi e solo perche' il white hat di turno ha
    > deciso di rendere pubblica la falla. Di fronte a
    > casi del genere chi continua a credere nella
    > maggiore sicurezza dell'opensource mi pare
    > leggermente
    > ingenuo

    A me pare leggermente ingenuo uno che mette plugins fatti da ragazzini senza controllare cosa fanno i plugins.

    Che un software open source sia insicuro perché "si vede il codice" è un'idiozia. E certo che è un'idiozia, secondo te uno che ti vuole attaccare il sito va a guardare il codice del progetto?
    Bastano pochi tentativi sulle interfacce di input, e spesso anche banalmente sulle query string di navigazione per identificare la presenza di una falla.
    Se un'applicazione è fatta male si fa molto prima andando a tentativi e cercando di sfruttare tecniche di attacco note piuttosto che andare a leggere il codice.
    Ubunto
    1350
  • - Scritto da: giuffre
    > - Scritto da: Difensore
    > > Alternative???
    >
    > scriversi un cms o blog da soli partendo da zero

    Altra minchiata... preparati a diversi XSS e SQL injection.
    Ne vale davvero la pena o è meglio imparare come funziona wordpress e magari modificarlo a seconda delle proprie esigenze?

    Accetto adesioni a corsi, a pagamento (e molto salati) si intende.
    non+autenticato