Хакер #305. Многошаговые SQL-инъекции
Недавно мы рассказывали о скандале, в центре которого оказался GitHub. Дело в том, что правообладатели из Американской ассоциации звукозаписывающих компаний (RIAA) добились удаления с GitHub проекта youtube-dl и 17 его копий. Данная Python-библиотека применялась во многих инструментах и сервисах для копирования контента с YouTube, имела более 72 000 звезд на GitHub и представляла собой один из наиболее популярных репозиториев на сайте.
Библиотека была удалена из-за нарушения DMCA (Digital Millennium Copyright Act — Закон об авторском праве в цифровую эпоху), так как могла применяться для «обхода технических мер защиты, используемых авторизованными стриминговыми сервисами, такими как YouTube». В сущности, представители RIAA заявляют даже не о нарушении DMCA и не о том, что библиотека нарушает права членов Ассоциации, но утверждают, что библиотека сама по себе является незаконной.
Эта ситуация породила шквал критики в адрес RIAA, GitHub и компании Microsoft, которой с 2018 года принадлежит сервис. Простые пользователи, эксперты и правозащитники писали, что YouTube-DL пользовался популярностью не только среди пиратов: к примеру, им активно пользовались интернет-архивисты, а также библиотеку нередко применяли для загрузки бесплатных документальных фильмов, видео, представляющих собой достояние общественности, и так далее.
Многие пользователи начали специально распространять исходные коды YouTube-DL, создавая все новые и новые репозитории (вскоре счет уже шел на сотни), размещая исходники даже в репозитории с уведомлениями DMCA на GitHub, а также в социальных сетях, в том числе, закодировав исходники в изображения.
convert -depth 8 yt_dl1.png rgb:yt_dl1.part
— ░ ??? /???/?????? ░ (@GalacticFurball) October 23, 2020
convert -depth 8 yt_dl2.png rgb:yt_dl2.part
cat yt_dl1.part yt_dl2.part > yt_dl-2020.9.20.tar.gz pic.twitter.com/7wB3VZomBj
Как теперь сообщает издание TorrentFreak, требования RIAA распространялись не только на GitHub. Также представители Ассоциации пытались добиться закрытия официального сайта YouTube-DL (yt-dl.org), о чем уведомили хостера ресурса — немецкую компанию Uberspace. Руководство хостера ответило RIAA через своих юристов, сообщив, что компания ничего не нарушала, а на сайте проекта на тот момент вообще не было никакого ПО или исходных кодов, так как все ссылки для загрузки вели на GitHub.
Между тем, выяснилось и совсем неожиданное: Нэт Фридман (Nat Friedman), возглавивший GitHub после приобретения сервиса Microsoft в 2018 году, тоже недоволен сложившейся ситуацией. TorrenFreak пишет, что недавно CEO GitHub присоединился к IRC-каналу разработчиков YouTube-DL и подтвердил свою личность, опубликовав пост в своем официальном Twitter.
Фридман выразил сожаление по поводу сложившейся ситуации и сообщил, что хочет установить контакт с разработчиками, чтобы помочь им как можно быстрее разблокировать и восстановить репозиторий.
«GitHub существует, чтобы помогать разработчикам, и мы никогда не желали мешать их работе. Мы хотим помочь разработчикам youtube-dl отклонить жалобу DMCA, чтобы они могли восстановить свой репозиторий, — объяснил Фридман представителям TorrentFreak, подтвердив, что действительно заходил в IRC. — Эта [ситуация] меня рассердила. Возможно, из-за важности таких инструментов, как youtube-dl для архивистов, или из-за нашей собственной архивной программы и финансирования Internet Archive. Мы размышляем над тем, как в будущем GitHub можем проактивно помогать разработчикам с претензиями DMCA и брать на себя более активную роль в реформировании/аннулировании раздела 1201 [закона Об авторском праве в цифровую эпоху]».
При этом глава GitHub объясняет, что репозиторий YouTube-DL вряд ли может быть восстановлен в исходом виде. Только если из кода и сопроводительной документации уберут те части, что позволяют обойти защиту плавающим шифром (rolling cipher), которая используется на YouTube и которую Youtube-dl успешно обманывал, а также примеры того, как загружать материалы, защищенные авторским правом.