{"id":3973,"url":"\/distributions\/3973\/click?bit=1&hash=69c55e3031b7c5b32fd446d1bcadb4386d9d153a7ff5ac11e39b7566b22d4ce3","title":"\u041c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0443\u0441\u043b\u0443\u0433 ","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"06dd1ba1-1f1b-50d7-87e0-bba4328182c5","isPaidAndBannersEnabled":false}

Audacity следит за тобой

Кто бы мог подумать всего год назад, что единственный успешный открытый аудиоредактор Audacity, который был в своем роде одним из символов opensourse, всего через год продастся с потрохами компании под названием Muse Group, мало того начнет шпионить за своим же комьюнити которое 20 лет финансово и медийно поддерживало его наплаву, когда он был никому не нужен.

Падение лицом в грязь Audacity это ярчайший пример того, как за пару месяцев можно легко и непринужденно полностью уничтожить весьма известный бренд создавашийся десятилетиями и огромными усилиями, поэтому остановимся на этом чуть подробнее и восстановим хронологию предшествующих событий:

03.05.2021 Компания Muse Group покупает проект Audacity, по сути команду разработчиков Audacity Team, а с ними права на их код в рамках проекта, таким образом большая часть исходного кода Audacity становится интелектуальной собственностью Muse Group, при этом компания обещает сохранить прежний курс развития Audacity и сконцентрироваться на улучшении его дизайна, однако не прошло и недели с момента покупки оного, как компания Muse Group решила "порадовать" комьюнити планами введения телеметрии. Якобы сбор данных им нужен для лучшего понимания взаимодействия пользователя с программой для ее дальнейшего улучшения, после чего на Github поднялась горичневая волна взаимности от комьюнити, которое принялось строчить гневные отзывы и проклятия Audacity и Muse Group, которые как ни странно сработали и последняя решила отказаться от телеметрии, а как оказалось всего лишь отсрочить ее внедрение выждав время пока шумиха уляжется, чтобы преподнести очередной сюрприз

02.07.2021 На сайте Audacity тихо и незаметно появилось ""уведомление о конфиденциальности", которое по сути является аналогом классического лицензионного соглашения, проще говоря если ты пользуешься программой значит автоматически принимаешь его условия и соглашаешься со всем что там сказано, само собой посвящено данное уведомление было разьяснению вопросов связанных с внедряемой телеметрией, а именно о том какую информацию будут собирать, где хранить и кому передавать, вроде бы все стандартно, но дотошные юзеры таки внимательно прочитали данный "шедевр" от чего у них поневоле начали шевелится волосы на голове, а что там такого спрашивается:

<< В списке данных, которые могут быть получены в процессе сбора телеметрии, помимо таких параметров, как хэш IP-адреса, версия операционной системы и модель CPU, имеется упоминание информации, необходимой для правоохранительных органов, судебных разбирательств и запросов от органов власти >>

Аудиоредактор собирающий IP-адреса, а также некую информацию для органов? Интересно, а какую информацию программа собирает под этой абстрактной формулировкой и зачем ей IP-адреса пользователей? В том, то и дело что никто не знает, мы можем лишь догадываться, там лишь сказано неких дополнительных данных необходимых для правоохранительных органов, судебных разбирательств и запросов властей , можно предположить, что связано это с антипиратским законодательством и также предположить, что Audacity будет передавать информацию о содержимом диска либо какие то другие конфиденциальные данные пользователя по запросу от соответствующих служб, а IP-адрес необходим для дальнейшей идентификации потенциального преступника скачавшего с торрента альбом любимой группы или что-то еще, также стоит обратить внимание на специфику работы программы Audacity, как и положено большинству аудиоредакторов она умеет работать с микрофоном, то есть имеет к нему реальный доступ и это наводит меня на определенные мысли о прослушке.

Другой немаловажный нюанс состоит в том, где эти собранные данные о пользователе хранятся, а вот тут все еще интереснее, ведь в уведомлении сказано что данные хранятся в Евросоюзе, но также сказано что они могут быть переданы в главный офис компании в России, а также неким юристам компании в США, но есть одно но, дело в том что "уведомление о конфиденциальности" не от лица Muse Group которая купила Audacity о которой известно только что она сидит под шведским доменом .se, а от лица некой WSM Group, которая зарегистрирована по адресу Россия, Калининград, Московский пр-т, д. 40, следовательно эта компания находится в правовом поле России, а значит по закону она обязана хранить данные на территории России, а вовсе не в Евросоюзе. Вранье налицо...

В завершении даже добавить нечего, кроме того что теперь имя Audacity больше не ассоциируется у меня с творчеством, а скорее со слежкой, мутными схемами, неплевательскому отношению к комьюнити, продажностью и предательством.

P. S. Ссылка на оригинал "уведомления о конфиденциальности" Audacity вот

В поисках замены Audacity без слежки и СМС, обратите внимание на Ocenaudio, который был разработан в бразильском универе "Federal University of Santa Catarina" и его силами развивается до сих пор, он абсолютно бесплатен, имеет приятный интерфейс и работает на всех платформах, если будет желание поддержите проект донатом или добрым словом, оба варианта очень приветствуются)

Пользуйтесь только хорошим софтом!

0
269 комментариев
Написать комментарий...
Andrey Apanasik

Проблема всего кипиша не в том, что что-то там поменяли, а что это всё в виде анонса, т. е. сообщество просто перед фактом поставили, не было никакого обсуждения. Так опенсорс не делается.

Ответить
Развернуть ветку
Прочный магнит

Это не совсем корректное утверждение. Обсуждение с комьюнити было и реализовано в итоге именно то, о чем договаривались. Предложенный вариант был встречен сообществом положительно:

https://github.com/audacity/audacity/discussions/889

Проблема в том, что люди из группы, которая учувствовала в этом обсуждение практически не пересекается с группой, которая сейчас создает информационный фон вокруг Audacity. 

Увы, участникам текущего обсуждения мало интересны наши ответы и, в целом, ничего кроме громкого заголовка. Отдельные выдающиеся блогеры на TJ естественно приплели туда silovikov. Им, правда, особо это не помогло.

Just in case, официальные ответы:

* https://www.bbc.com/news/technology-57721967
https://github.com/audacity/audacity/discussions/1225
https://github.com/audacity/audacity/discussions/1225#discussioncomment-966782

Проблема лежит исключительно в поле public relations. На текущий момент развесистая privacy policy - это современная реальность, особенно если ты оперируешь в EU/US. Даже если твой сервер тупо сохраняет IP в логе, потому что ты не поменял дефолтный конфиг - у тебя уже проблемы. Передача данных силовым ведомствам при наличии ордера/решения суда или иного документа, предусмотренного законодательством страны это тоже не что-то опциональное.

Добавлю небольшое резюме того, что написанно в официальных ответах и самой privacy policy.

В Audacity 3.0.3 будет добавленно 3 фичи, которые работают по сети:

1. Проверка обновлений (не авто-обновление).
2. Возможность отсылать не фатальные ошибки в наше Sentry.
3. Возможность отсылать креши в наше Sentry.

При этом - отсылка крешей и ошибок просиходит только по желанию юзера. Проверку обновлений можно отключить.

При этом на Sentry отключено логирование IP. При проверке обновлений - мы пишем геоданные и хеш от IP адреса, порезанного до /24 в лог (то есть, по сути, 3 первых числа). По этому логу мы потом можем делать оценку DAU и распределение пользователя по странам. Мы были совершенно открыты, что будет считать DAU. По мимо этого, мы видим распределение по версиям приложения и операционным системам. С большим трудом верится, что эта информация может как-то помочь силовым ведомствам, но я еще раз повторю, что фраза по передачу данных при наличии законных оснований - это просто данность современного мира.

Мы не занимаемся Linux пакетами (rpm, ...), однако мы пытаемся решать проблемы мейнтейнеров. Сейчас есть проблемы с зависимостями, которые мы решаем. Пока, самая большая проблема - wxWidgets 3.1. Пока из крупных дистрибутивов она доступна только на Федоре.

В Linux пакетах вся сетевая функциональнось будет отключена. Как следствие, privacy policy к ним не применима. Если мейнтенеры захотят, например, репорт ошибок - они могут это включить. В этом случае будет действовать policy, применимая к тому инстансу Sentry, на которую они будут слать ошибки. Репортинг крешей для сборок не из GitHub Actions не возможен технически.

Ответить
Развернуть ветку
Andrey Apanasik

Затеряется ответ. Вам бы это отдельным постом запилить.

Ответить
Развернуть ветку
Прочный магнит

Считай, что я лично тебе отвечал, лол :) Коллега ходит по гитхабу, тоже пытается отвечать - но его тупо игнорирует большинство :)

Ответить
Развернуть ветку
Вальдес
Автор

Ага, конечно смотрю и любуюсь как сообщество положительно откликнулось
https://github.com/audacity/audacity/issues/1213#issuecomment-874850867

Ответить
Развернуть ветку
Арсений Антипов

Или я чего-то не понимаю, или ответ является попыткой дэмэдж контроля.

1) Если от IP-адреса нужна только подсеть, почему он передаётся целиком?

2) В соглашении указаны какие-то данные «for legal enforcement». Что это за данные? Почему они не детализированы в соглашении?

3) Почему в соглашении не указано, что данные передаются в Sentry, зато указано большое количество других третьих лиц?

4) Ничего, что обновлённые условия использования нарушают вашу собственную лицензию?

5) Вопрос из начала треда: почему никто заранее не обсуждал изменения с сообществом, а просто поставил его перед фактом?

Ответить
Развернуть ветку
Прочный магнит

Если в вкратце - это "стандартная ПП от юристов для юристов".

Если от IP-адреса нужна только подсеть, почему он передаётся целиком

Так работает интернет. IP адрес, внезапно, часть IP пакета.

В соглашении указаны какие-то данные «for legal enforcement».

Потому что такой пункт есть в любой ПП.

Почему в соглашении не указано, что данные передаются в Sentry

Sentry находится на сервере компании. 

зато указано большое количество других третьих лиц?

Стандартный пункт, описывающий DD в случае продажи компании.

Вопрос из начала треда – почему никто заранее не обсуждал изменения с сообществом, а просто поставил его перед фактом?
Обсуждение с комьюнити было и реализовано в итоге именно то, о чем договаривались. Предложенный вариант был встречен сообществом положительно: https://github.com/audacity/audacity/discussions/889
Ответить
Развернуть ветку
Арсений Антипов
 Так работает интернет. IP адрес, внезапно, часть IP пакета.

Так ведь можно не вести логи входящих пакетов. Поставить на сервере фильтр, который будет отсеивать входящие пакеты, скажем, по уникальному для телеметрии идентификатору, и сервер будет сохранять только её, не сохраняя IP пользователя, который её прислал.

Понимаю, что в 2021-ом глупо докапываться до того, что какая-то программа собирает пользовательские IP – так делают все и каждый, но в данном случае это просто вопрос принципа.

 Потому что такой пункт есть в любой ПП.

Да, но в других ПП он детализирован. Там указано, какие именно данные собираются для потенциальных юридических целей.

 Sentry находится на сервере компании.

Тем более. Значит, данные даже не передаются третьим лицам.

 Стандартный пункт, описывающий DD в случае продажи компании.

Но следующий пункт объясняет, почему данные могут быть предоставлены третьим лицам, поэтому окей, согласен, здесь претензий нет.

 Обсуждение с комьюнити было и реализовано в итоге именно то, о чем договаривались.

Насколько я понимаю, это было реализовано пост-фактум, но ладно, здесь у меня тоже больше нет претензий.

И ваше ПП всё ещё косвенно нарушает GPL.

Ответить
Развернуть ветку
Прочный магнит
не сохраняя IP пользователя

Мы храним хеш от первых 3х (их 4х байт) адреса.

И ваше ПП всё ещё косвенно нарушает GPL.

Мы работает над этим :-)

Да, но в других ПП он детализирован.

И над этим тоже :)

Ответить
Развернуть ветку
Арсений Антипов
 Мы храним хеш от первых 3х (их 4х байт) адреса.

Но передаётся IP целиком.
Я просто не вижу проблемы захэшировать подсеть на компьютере клиента и передать на сервер в таком виде. А сервер сохранит хэш, но не сохранит IP клиента.

 Мы работает над этим :-)

Хорошо, ловлю на слове. Но держите в уме, что обычно из-за вот таких недоработок и возникает огромное недопонимание)

Ответить
Развернуть ветку
Прочный магнит
таких недоработок и возникает огромное недопонимание

Ох я в курсе :)

Ответить
Развернуть ветку
Арсений Антипов

А, кстати – было бы неплохо, чтобы всё-таки была возможность всё это дело отключить. Для параноиков. Так было бы уважительнее по отношению к пользователям

Ответить
Развернуть ветку
Прочный магнит

Все это можно отключить

Ответить
Развернуть ветку
Арсений Антипов

Отлично

Ответить
Развернуть ветку
Читать все 269 комментариев
null