WordPress 2.3 y las preocupaciones por la privacidad

Ésta es una noticia fresquita: algunas horas después del lanzamiento de WordPress 2.3, apareció un hilo en Slashdot titulado WordPress 2.3 espía a sus usarios (que a esta hora ya ha sido actualizado a WordPress 2.3 no espía a sus usuarios).

La polémica se ha armado por el sistema de notificación de actualizaciones para el core y los plugins de WordPress, una de las novedades más interesantes de la nueva versión; lógicamente, si el sistema habría de informar que existirían actualizaciones disponibles, tenía que existir alguna forma de “saber” qué plugins habían instalados en cada blog, lo que se ha logrado a través de el envío de un informe a un servidor central en api.wordpress.org.

Lo objetable de este sistema se ha centrado fundamentalmente en un punto: que el informe enviado no incluye solamente la lista de plugins instalados, sino además el número de versión y la URL del blog, algo que por muchos es visto como innecesario y derechamente injustificable.

La respuesta de Matt Mullenweg no ha sido especialmente alentadora —traducción de SigT:

Si no os fiáis de wordpress.org os sugiero hacer una de las siguientes cosas:

  1. Usar un software diferente.
  2. Crear un fork de WordPress (una ramificación/proyecto paralelo).
  3. Instalar uno de los plugins ya comentados.

He estado revisando los mensajes en la lista de correo de los desarrolladores de WordPress y he podido encontrar algunos nuevos detalles: la discusión se ha centrado sobre las razones que podrían justificar el envío de la URL de cada blog, ya que en principio parece una decisión poco afortunada; se ha argumentado que en su reemplazo se podría haber utilizado un hash MD5, que serviría de todos modos como un identificador único, pero sin otorgar detalles concretos sobre cada blog. Aquí Matt ha respondido de una manera algo más razonable; resumo sus razones:

  1. Una URL es (según él) la mejor forma de identificar un blog, ya que se pueden normalizar, agrupar por sub/dominios, crear estadísticas por dominios, asociar con perfiles en WordPress.org, etc. —en este sentido le encuentro razón; una URL/:uri: es ciertamente una fantástica forma de identificar un sitio en internet… pero ¿para qué?
  2. Un hash MD5 es único, pero no tiene más valor; cualquier cambio, como la barra final (dominio.com versus dominio.com/) o de mayúsculas/minúsculas alterará la relación entre el blog y su hash —nuevamente, ¿para qué es necesaria mantener la identificación del blog con la información sobre plugins?
  3. Podrían haber nuevas funcionalidades que aun no se han planificado y necesitarían de esto —mmm… sí; me huele a sacada de pillo: ¿porqué recién ahora sale a la luz esta idea? ¿no se les habrá ocurrido justo ahora, cierto?
  4. Un hash MD5 no es necesariamente más anónimo: cualquiera que tenga acceso a una lista de los hashes y una lista de URLs podría identificar los blogs —cierto, lo que abre algunas preguntas: ¿cómo tendrían acceso a estas listas? y ¿qué tan seguros estarán los datos en los servidores de WordPress.org? Recordemos que hace algún tiempo alguien logró poner una versión modificada de una actualización; si alguien logra acceder a la información sabrá inmediatamente las vulnerabilidades de un montón de blogs.
  5. Estamos a horas del lanzamiento discutiendo un cambio que fue enviado hace meses —en este punto le encuentro toda la razón: ¿porqué nadie dijo nada antes del lanzamiento? Muchas personas conocíamos el calendario del lanzamiento, vimos pasar las betas y los release candidate, pero recién ahora a alguien se le ocurre que hay otra forma de hacer las cosas. Raro, ¿no?

A todo esto, se ha actualizado la política de privacidad en WordPress.org, y un usuario no identificado, registrado hoy, ha enviado algunas notas a Digg al respecto y un par de comentarios bastante cizañeros.

Es cierto, hay mucho de FUD en esto (como decía antes, ¿por qué justo ahora aparecen estas preocupaciones?), pero hay cosas que se pueden mejorar. En lo personal, más que la preocupación por la privacidad, me queda la preocupación por la seguridad de los datos enviados, no solo en su almacenamiento en el servidor de WordPress, sino también sobre su seguridad en el tránsito hacia allá… ¿y si fueran cifrados con una clave API de WordPress.com?

Habrá que ver en qué termina esto. Otros que han escrito al respecto: