1 คะแนน โดย GN⁺ 2024-10-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • WordPress.org เปิดตัวฟอร์กของปลั๊กอินยอดนิยมจาก WP Engine อย่าง Advanced Custom Fields (ACF) ภายใต้ชื่อ “Secure Custom Fields” ทำให้ความขัดแย้งเรื่องอำนาจควบคุมปลั๊กอินรุนแรงขึ้น
  • Matt Mullenweg ระบุว่าเป็นการนำการขายต่อยอดเชิงพาณิชย์ออกและแก้ไขด้านความปลอดภัย แต่ยังไม่ชัดเจนว่าปัญหา ความปลอดภัย ที่ว่าคืออะไร
  • เหตุผลของการดำเนินการครั้งนี้อ้างอิงจาก ข้อ 18 ของแนวทางไดเรกทอรีปลั๊กอิน ซึ่งเปิดทางให้ทีม WordPress สามารถลบหรือแก้ไขปลั๊กอินได้โดยไม่ต้องได้รับความยินยอมจากนักพัฒนา
  • ทีม ACF ของ WP Engine โต้กลับบน X ว่า WordPress ไม่เคย “ยึดไปแบบฝ่ายเดียวและบังคับ” โดยไม่ขอความยินยอมจากผู้สร้างปลั๊กอินมาก่อน
  • ผู้ใช้ที่ไม่ใช่ลูกค้าของ WP Engine, Flywheel หรือ ACF Pro จะต้องดาวน์โหลด เวอร์ชันแท้ 6.3.8 จากเว็บไซต์ ACF หนึ่งครั้งเพื่อรับอัปเดตต่อไป

ที่มาที่ไปของการเปลี่ยน ACF เป็น Secure Custom Fields

  • WordPress.org เผยแพร่ฟอร์กของปลั๊กอินยอดนิยมจาก WP Engine อย่าง Advanced Custom Fields (ACF) ภายใต้ชื่อ “Secure Custom Fields”
  • Matt Mullenweg ระบุว่าอัปเดตนี้เป็น ฟอร์ก ของปลั๊กอิน ACF และเป็นมาตรการเพื่อ “นำการขายต่อยอดเชิงพาณิชย์ออกและแก้ไขปัญหาความปลอดภัย”
  • การประกาศดังกล่าวเผยแพร่ผ่าน โพสต์บน WordPress.org ของ Matt Mullenweg ผู้ร่วมก่อตั้ง WordPress และ CEO ของ Automattic
  • “Secure Custom Fields” ถูกเผยแพร่บน หน้าปลั๊กอิน Advanced Custom Fields ของ WordPress.org

ข้อ 18 ของแนวทางและความขัดแย้งทางกฎหมาย

  • Mullenweg อ้าง ข้อ 18 ของแนวทางไดเรกทอรีปลั๊กอิน ซึ่งเปิดให้ทีม WordPress สามารถลบหรือแก้ไขปลั๊กอินได้โดยไม่ต้องได้รับความยินยอมจากนักพัฒนา เป็นเหตุผลของการดำเนินการครั้งนี้
  • การเคลื่อนไหวครั้งนี้เชื่อมโยงกับ คดีความ ที่ WP Engine เพิ่งยื่นฟ้อง Mullenweg และ Automattic
  • Mullenweg อธิบายว่าแม้จะเคยมีสถานการณ์คล้ายกันมาก่อน แต่ไม่เคยมีขนาดใหญ่เท่าครั้งนี้ และเป็น “สถานการณ์ที่เกิดขึ้นไม่บ่อยและผิดปกติ” จากการโจมตีทางกฎหมายของ WP Engine
  • เขายังเสริมด้วยว่าไม่คิดว่าเรื่องแบบนี้จะเกิดขึ้นกับปลั๊กอินอื่น

ขอบเขตของการแก้ไขด้านความปลอดภัยที่ยังไม่ชัดเจน

  • แม้ Mullenweg จะบอกว่าเป็นการแก้ไขปัญหาความปลอดภัย แต่ก็ยังไม่ชัดเจนว่าหมายถึงปัญหา ความปลอดภัย ใด
  • อัปเดตครั้งนี้ถูกอธิบายว่าเป็นอัปเดตแบบ “ขั้นต่ำ”
  • เหตุผลหลักของการเปลี่ยนแปลงปลั๊กอินถูกวางไว้ที่การนำการขายต่อยอดเชิงพาณิชย์ออกและการแก้ไขปัญหาความปลอดภัย

การโต้แย้งของทีม ACF จาก WP Engine และสิ่งที่ผู้ใช้ต้องทำ

  • ทีม ACF ของ WP Engine โต้กลับบน X ว่า WordPress ไม่เคย “ยึดไปแบบฝ่ายเดียวและบังคับ” โดยไม่ขอความยินยอมจากผู้สร้างปลั๊กอินมาก่อน
  • หลังจากนั้นทีม ACF ได้แนะนำขั้นตอนอัปเดตแยกต่างหากสำหรับผู้ใช้ที่ไม่ใช่ลูกค้าของ WP Engine, Flywheel หรือ ACF Pro
    • ต้องไปที่เว็บไซต์ ACF
    • ต้องทำตามขั้นตอนที่ ACF เผยแพร่ไว้ก่อนหน้านี้
    • ต้อง ดาวน์โหลดหนึ่งครั้ง สำหรับ “เวอร์ชันแท้ 6.3.8” เพื่อรับอัปเดตต่อไป

บทบาทของปลั๊กอิน ACF

  • ACF เป็นปลั๊กอินที่ช่วยให้ผู้สร้างเว็บไซต์สามารถใช้ custom fields ได้เมื่อฟิลด์ทั่วไปที่มีอยู่เดิมไม่เพียงพอ
  • ตามคำอธิบายของ ACF นั้น custom fields มีอยู่ใน WordPress เป็นฟังก์ชันพื้นฐานอยู่แล้ว แต่ “ไม่ได้ใช้งานง่ายนัก”

1 ความคิดเห็น

 
GN⁺ 2024-10-14
ความคิดเห็นใน Hacker News
  • วันนี้ได้รับการติดต่อจากลูกค้าที่ไม่ได้คุยกันมา 5 ปี พวกเขาใช้ ACF และปลั๊กอินย้ายไฟล์อัปโหลดไป S3 ที่ WPEngine เข้าซื้อไป
    เรื่องนี้ทำให้พวกเขากังวลอย่างมาก และห่วงว่าการเปลี่ยนแปลงถัดไปจะส่งผลต่อธุรกิจอย่างไร สุดท้ายจึง อยากออกจาก WordPress

    • เรื่องแบบนี้เกิดขึ้นค่อนข้างบ่อยเมื่อองค์กรขนาดใหญ่พยายามประเมินตัวเลือกที่เสถียร และเป็นผลเสียไม่ใช่แค่กับ WordPress แต่กับ โอเพนซอร์สโดยรวม ด้วย
  • ก่อนหน้านี้ WordPress เคยห้าม ปลั๊กอินที่ fork มา ในไดเรกทอรีปลั๊กอิน แต่ตอนนี้กลับทำสิ่งที่ตัวเองห้ามคนอื่นไว้: https://make.wordpress.org/plugins/2021/02/16/reminder-forke...

    • บทความนั้นดูเหมือนจะพูดถึงกรณีการ fork ปลั๊กอินโอเพนซอร์สแบบเสียเงิน
      ครั้งนี้จริงอยู่ว่า fork ปลั๊กอิน แต่ดูเหมือนไม่ได้เอาฟีเจอร์พรีเมียมมาแจกฟรี
      ไม่ได้พยายามปกป้องในเชิงจริยธรรม แค่ ปรับข้อเท็จจริงให้ตรง
    • นั่นไม่ใช่ ปลั๊กอินพรีเมียม
  • ไม่ชัดเจนว่าปัญหาความปลอดภัยที่ Mullenweg กล่าวถึงในโพสต์คืออะไร
    CVE อยู่ตรงไหน และถ้ายังใช้ปลั๊กอินต้นฉบับต่อไปจะมีความเสี่ยงอะไร ก็ไม่มีรายละเอียดเลย
    จึงมีแต่ความกังวลว่าไม่อาจรู้ได้ว่าต้นฉบับปลอดภัยหรือไม่
    คำพูดที่ว่า “ต่อไป Secure Custom Fields จะเป็นปลั๊กอินที่ไม่ใช่เชิงพาณิชย์” หมายความว่า WordPress อาจกำลังเล็งแหล่งรายได้ของ WPEngine อยู่หรือเปล่า?
    ถ้ามีตัวเลือก Pro อยู่ ส่วนนั้นเป็นซอร์สแบบปิด จึงไม่ชัดเจนด้วยว่าไม่ได้อยู่ในฐานโค้ดที่ WordPress fork มาหรือไม่: https://www.advancedcustomfields.com/pro/

    • diff ที่แสดงการเปลี่ยนแปลงอยู่ที่นี่: https://plugins.trac.wordpress.org/changeset?new=3167679%40a...
    • ผมคิดว่าความกังวลนั้นน่าจะเป็นผลลัพธ์ที่ Matt ตั้งใจให้เกิด
      ดูเหมือนเขาพยายามขู่ลูกค้าของ WPEngine ให้เลิกใช้บริการ และตอนนี้ดูเหมือนเป็น สงครามระหว่างบุคคล ไปแล้ว
    • เท่าที่เข้าใจ ACF ได้แทรก ประกาศ ลงในแดชบอร์ดของทุกคนเพื่อประโยชน์ทางกฎหมายของตนเอง
      ถ้าเรื่องแบบนั้นเข้าข่ายละเมิดก็คงไม่น่าแปลกใจ
    • เนื่องจาก WordPress อยู่ภายใต้ไลเซนส์ GPL ปลั๊กอินทั้งหมดจึงต้องใช้ไลเซนส์ที่เข้ากันได้กับ GPL
      ข้อนี้ใช้กับ ACF Pro ด้วย
  • จุดหักมุมที่เหมาะสมตรงนี้คือ WPEngine หาบุคคลที่สามที่น่าเชื่อถืออย่างน้อยหนึ่งราย แล้วร่วมกันตั้งมูลนิธิเพื่อ fork WordPress ให้สำเร็จ

    • เดิมทีเรื่องนี้เริ่มขึ้นเพราะ Automattic บ่นว่า WPEngine แข่งขันแบบใช้ฟรี โดยไม่ได้มีส่วนร่วมกับการพัฒนา WordPress มากนักไม่ใช่หรือ?
    • ผมคิดว่า Matt น่าจะยินดีกับเรื่องนั้นพอสมควรด้วยซ้ำ
      ประเด็นของเขาคือ WP Engine ไม่ได้มีส่วนร่วมกับ WordPress ดังนั้นหากพวกเขาตัดสินใจดูแล fork และโครงสร้างพื้นฐานเอง ก็จะไม่ใช่ การเกาะใช้ฟรี อีกต่อไป
      ความเห็นของผมคือ Automattic ก็น่าจะดีใจถ้าพวกเขา fork
  • แม้จะมีจุดกึ่งกลางเกิดขึ้นจากความยุ่งเหยิงที่ Matt สร้างขึ้นนี้ ผมก็กลัวว่า ความเสียหายต่อชุมชน ได้เกิดขึ้นไปแล้ว
    ดูเหมือนเป็นเพียงเรื่องของเวลา ก่อนที่ความนิยมของแพลตฟอร์มชื่อดังที่แทบทุกคนเคยใช้ไม่ทางใดก็ทางหนึ่งจะพังลง

    • ไม่ว่าจะดีหรือร้าย ถ้ามองในแง่ดีก็อาจเป็นเรื่องดี
      WordPress มอบหลายสิ่งให้กับอินเทอร์เน็ตมาหลายปี แต่ส่วนใหญ่ในนั้นคือ เว็บไซต์ที่ถูกยึด และปัญหาความปลอดภัย
      หากเรื่องนี้นำไปสู่การถือกำเนิดหรือการแพร่หลายของเครื่องมือที่ทันสมัยและปลอดภัย ก็อาจเป็นผลดีสุทธิสำหรับทุกคน
    • ฟังดูคล้ายกับตอนที่ Drupal ค่อย ๆ เลือนหายไปในช่วง เหตุการณ์ Larry Garfield อยู่เล็กน้อย
      แน่นอนว่าเป็นแบบมีสัญญาณนำอยู่นาน แล้วระเบิดออกมาเป็นเหตุการณ์ดัง แต่ WordPress เองก็อาจเริ่มมีสัญญาณให้เห็นแล้ว
    • ขึ้นอยู่กับว่า การรับมือด้านประชาสัมพันธ์ ของพวกเขาดีแค่ไหน
      เท่าที่เห็นจนถึงตอนนี้ PR ปัจจุบันยังไม่ค่อยดีนัก
    • ดีแล้ว
      WordPress ก็แค่ คนแคระที่สูงที่สุด เท่านั้น
  • ที่ปรึกษากฎหมายของพวกเขาไม่ก็เก่งที่สุด ก็แย่ที่สุด หรือไม่ก็แค่ ไม่ฟังที่ปรึกษากฎหมาย

    • พวกเขายังมีทีมโซเชียลมีเดียที่แย่ที่สุดเท่าที่เคยเห็นมา: https://x.com/WordPress/status/1845121130207535524
    • บางคนคิดว่าตัวเองอยู่เหนือกฎหมาย
      คนชื่อ Matt คนนี้ดูเหมือน ไม่ปกติเอาเสียเลย
    • หนึ่งในแถลงการณ์ของ Automattic ออกโดย Neal Katyal อดีตรักษาการรองอัยการสูงสุดของสหรัฐฯ
      ดังนั้นจึงดูเป็นไปได้มากกว่าว่าปัญหาอยู่ที่ตัวลูกความเอง
    • แม้สถานการณ์จะรุนแรงน้อยกว่านั้นมาก แต่ผู้บริหาร WordPress น่าจะฟังทนายมากกว่านี้
  • Mullenweg กำลังยึดผู้ใช้เดิมไปด้วย การโจมตีซัพพลายเชน

    • ผมไม่เห็นว่าส่วนที่เป็น “การโจมตี” อยู่ตรงไหน
      ผมคิดว่านั่นคือแก่นสำคัญของนิยามเสียอีก
  • พฤติกรรมแบบนี้กำลังทำให้ ชื่อ WordPress เสื่อมเสียอย่างหนัก

    • พวกเขาบล็อกไม่ให้ Wpengine อัปเดตแพ็กเกจในรีโพซิทอรี และหลังจากนั้นผู้ดูแลแพ็กเกจก็พบปัญหาความปลอดภัย แต่เพราะถูกล็อกไว้จึงไม่สามารถแก้ด้วยการอัปเดตได้
      ถ้ามองแบบแปลก ๆ ก็พอมีเหตุผล
      wp.org ถูกบีบให้ต้องปิดช่องโหว่ความปลอดภัยเอง และเพื่อทำเช่นนั้นก็ต้องแพตช์โดยตรง ซึ่งในกระบวนการนั้นก็ต้องยึดแพ็กเกจมา
      แม้จะน่าตกใจ แต่ก็น่าจะดีกว่าการปล่อย ช่องโหว่ความปลอดภัย ที่ทราบและเปิดเผยแล้วทิ้งไว้เฉย ๆ
  • ตอนนี้เริ่มรู้สึกเศร้าแบบธรรมดาแล้ว
    น่าเสียดายที่ไม่มีทางเลือกเทียบเคียงได้ใน ระบบนิเวศที่เอาแน่เอานอนได้น้อยกว่า

  • การอภิปรายก่อนหน้านี้ใน Hacker News: https://news.ycombinator.com/item?id=41821400