josf.se

Här är ett exempel på varför jag föredrar öppen kod framför stängd.

Det finns ett projekt som heter Despotify, som syftar till att ”avkoda” hur Spotify fungerar, så att man kan använda tjänsten utan att använda sig av Sporifys officiella klient. När de klurade ut hur man skulle kommunicera med Spotifys servrar upptäckte de en bugg som tillät att man fick tag på en användares kreditnummer, och även det hashkodade lösenordet (vilket gör det möjligt att räkna ut användarens lösenord). En kommentar i Despotifys kod lyder såhär:

/*
* Prepare a message to authenticate.
*
* Prior to the 19th of December 2008 Spotify happily told clients
* (including ours!) almost everything it knew about a particular
* user, if they asked for it.
*
* Legitimate requests for this is for example when you add
* someone else’s shared playlist.
*
* This allowed clients to see not only the last four digits of the
* credit card used to subscribe to the premium service, whether
* the user was a paying customer or preferred commercials, but
* also very interesting stuff such as the hash computed from
* SHA(salt || ” ” || password).
*
* In theory (HE HE!) this allowed any registered user to request
* somebody else’s user data, get ahold of the hash, and then use
* it to authenticate as that user.
*
* Fortunately, at lest for Spotify and it’s users, this is not
* the case anymore. (R.I.P poor misfeature)
*
* However, we urge people to change their passwords for reasons
* left as an exercise for the reader to figure out.
*
*/

Det är till viss del av sådana här anledningar som jag undviker att använda tjänster och program såsom Spotify. Idén till tjänsten är ju jättebra däremot, så jag hoppas att de öppnar upp den mer och på så sätt gör den mer vänlig och pålitlig. Jag tycker inte om när en tjänsteleverantör fösöker tvinga en att använda tjänsten genom just deras program. Det är som att Pågen plötsligt skulle kräva att man bara får rosta Pågens bröd i Pågens egen brödrost. Det är ganske absurt.