首页 > 新闻资讯 > WordPress内嵌间谍软件?

WordPress内嵌间谍软件?

1条评论
标签:
更多

间谍软件:正如同名字所暗示的一样,它通常是指搜集计算机用户的有关信息, 并在未得到该用户的许可便擅自传递给第三方的软件。间谍软件监视用户的电脑行为 (如他们访问什么网站),然后将这些信息发回给中央位置 (通常是生产间谍软件的公司)。这些信息被透露给其他公司,其它公司利用这些信息以实现更有效地投放广告。尤其是恶劣的间谍软件通过搜集邮件地址、密码甚至是信用卡信息等传送给别的公司。间谍软件通常是通过捆绑其它软件安装的。根据StopBadware.org的准则,如果间谍软件没有告知用户它将搜集用户的信息数据和如果使用这些数据,那么该间谍软件就被认定为恶意软件。

大概在2007年WordPress2.2版时,我就开始使用这个博客程序。不久后,WordPress 2.3 就发行了。这个版本的WordPress通过发布插件更新通知的形式,引进了一个插件自动升级功能。我当时认为这个功能太棒了,但是WordPress社区中的一些人对此表示异议,因为他们发现被发送回API.WordPress.org的数据类型有点诡异,因为这里不单单是发送版本号就可以了。

两年很快过去了,隐私问题又被再次提起。下面是WordPress为了检查插件、主题或者其核心的更新时给 api.wordpress.org 发送回的数据:.

  • 你的IP地址
  • 博客URL地址
  • WordPress 版本号
  • PHP 版本号
  • 本地配置
  • 插件名称、描述、制作者–包括里面所有的URL地址。
  • 你的站点所有的插件列表(激活和非激活的)。

如果你加载插件页面的时间超过12个小时时就会发生这种情况。这里面大家比较有争议的是,有些人认为博客URL地址不应该被发送回去,而应该只发送IP地址和一些其他比较能够作为身份象征的信息。

对于这个问题Matt 做出了一个回应禁用更新检查。但是禁用更新检查这个想法并非好主意,因为检查一下版本号并没有什么问题,问题是能不能不要检查博客的URL地址。

WordPress.org隐私政策确实有提到WordPress博客程序执行WordPress版本和插件的检查。但是,该隐私政策并没有具体到WordPress向api.wordpress.org 发送回些什么样的信息。

最好应该把所有的信息都对大家开诚布公。这才是好的公关,如果不这样做的话只会让谣言搅混真相,导致人们为此有各种各样的疑问。

对我来说,插件更新唯一的解决方案就是给服务器发送插件本身所属的所有相关信息,因为其他信息选项的作用将非常小或者还很容易引致错误。因此,为什么不在插件更新请求中就添加它自身相关的信息呢?这只需要在插件更新的代码中稍微做一点小修改就可以了,这样也不需要对更新服务器做任何更改。

我知道其它程序在数据收集/使用统计上都会给终端用户一个选择。但是使用WordPress,安装之后就没有提供任何选择。有些人说插件列出的识别信息就等同于选择机制,但我不认为这样。你想想看,WordPress驱动一个站点,核心、主题、插件更新时需要的是版本号,其它一切都不是必须的。

对我来说这些都很简单,目前为止所有的建议都遭到强烈反对,应该是方式出错了。我觉得有必要在用户安装WordPress之前就告知用户他们的站点将会向WordPress母公司发送信息。大多数软件都会附带最终用户许可协议(EULA ),用户通过勾选复选框表示同意才可使用。但是我认为WordPress安装过程应该增加一个页面而不是EULA,作为WordPress的隐私政策。这些政策应该列出什么样的数据会被收集以及使用数据用意何在等等。

通过勾选复选框就意味着最终用户选择数据可被发送,而不勾上复选框意味着用户不希望数据被发送出去。对于不勾选的用户WordPress仍然应该确保用户可以收到插件、核心程序、主题更新通知,只是只能向api.wordpress.org发送这三者的版本号,而不能发送其它非必要信息。如果有的用户后来又想选择,可以在WordPress后端的隐私选项页面选择。

* 版权声明:作者WordPress啦! 转载请注明出处。

#1
探讨的挺深,我就这么一直被监视着!WEB程序也好,桌面程序也好,系统也好,深深的恐惧和悲哀的适应中