Heute ist mal wieder eine Warnung vor Software-Downloads von der Plattform SourceForge fällig. Wie es scheint, kapert der Betreiber der Plattform die Accounts populärer OpenSource-Projekte. Wer nicht aufpasst, fängt sich beim Download der Software ungewollt Toolbars und mehr ein.
Anzeige
Ich hatte schon mal im August 2013 im Artikel Obacht bei Sourceforge-Downloads das Thema angerissen. Viele OpenSource- und Freeware-Softwarepakete werden ja über die Plattform Sourceforge zum Download angeboten. Problem: Manche Entwickler packen Junkware in den Installer, die dann mit auf dem System installiert wird. Der Betreiber der SourceForge-Plattform beteiligt die Entwickler dann mit einem kleinen Obolus, wenn die Junkware mit installiert wurde.
SourceForge kapert OpenSource-Projekte
Jetzt geht die Entwicklung noch ein wenig weiter – in Richtung "kriminelle Ansätze". Der Betreiber der Plattform SourceForge bzw. dessen Administratoren kapern die Accounts populärer Softwareprojekte und stellen die Software unter eigenen Konten ein. Selbstredend sind die Downloads mit Junkware angereichert und die Administratoren der Original-Projekte kommen nicht mehr an ihre SourceForge-Accounts. Bei reddit berichten Anwender, dass SourceForge das MySQL-Projekt gekapert und die ASK-Toolbar im Installer beigepackt habe. Auch dem GIMP-Projekt ist das wohl passiert.
2015
Dem kann ich nur zustimmen, habe selbst schon gewisse Zugaben im Downloadgepäck vorfinden müssen. Sehr ärgerlich. Sourceforge steht aber nicht ganz allein da. Auf mancher bekannten Freewareseite bekommt man Downloads nur noch per vorheriger Ausführung eines "Downloaders". Im harmlosesten Fall bekommt man nur ein Werbefenster zu sehen, aber auch ungewünschte Zugaben sind möglich. Etwas gesundes Misstrauen kann daher generell nicht schaden.
Beipack bekommt man aktuell doch auch von div. PC Zeitschriften mit Ihren Downloadern. ;-(
der letzte download von cdex über sf war auch etwas angefüllt.
gibt es noch saubere downloadquellen (nicht nur cdex sondern alles)?
Saubere Downloadquellen…
unter Vorbehalt: opensource-dvd.de
Ich war lange nicht mehr auf der Seite, habe mit dem Projekt nichts zu tun und kann daher für nichts garantieren. Hab aber mal kurz geschaut und konnte cdex ohne lästige Zugabe laden. Einzig einen eigenen Installer mit Hinweis auf die eigenen Lizenzbedingungen haben sie dort, aber das sollte ok sein.
Für manch genervten, wenn denn alles nicht hinhaut ein Tipp:
Ist ein freies Tool absolut nicht ohne Zugaben zu bekommen behelfe ich mir mit einer VM. Lade und installiere es dort. Dann kopiere ich nur noch die gewünschte software auf den Host-PC. Viele, vor allem kleinere, OpenSource Programme laufen auch so, ohne eine direkte Installation. Die VM wird danach einfach abgeschaltet ohne den Inhalt auf den Virtuellen Datenträger zu übernehmen und fertig ist die improvisierte Notwehr.
Im grossen und ganzen stimme ich der Kritik zu. Fairerweise muss man aber auch sagen, dass nur inaktive Projekte betroffen waren, also solche, die gar nicht mehr oder nicht mehr bei sourceforge weiterentwickelt wurden. Man hat also keine aktiven sf-Projekt gekapert. Inakzeptabel ist allerdings in der Tat, wenn die Downloads ohne Wissen und Zustimmung der vorherigen Administratoren mit Beigaben versehen werden. Wenn man einem Posting im sf-Blog trauen darf, wurde die Sache aber (erst einmal) eingestellt.
Was die Software-Beigaben bei regulären Projekten (z.B. Filezilla) angeht, so sollte man aber auch darauf hinweisen, dass die Verwendung des sourceforge-Installers in diesen Fällen mit ausdrücklichem Einverständnis der jeweiligen Projekt-Administratoren stattfindet.
Als Nutzer muss man eben, wie überall im Internet, aufpassen. Immerhin wird ja auf den Installer hingewiesen. Im grossen grünen Downloadbutten ist 'Installer Enabled' zu lesen und es wird ein Hinweis eingeblendet, wenn man mit der Maus über das 'i' fährt: 'This is an ad supported installer…'. Und man hat immer die Möglichkeit, die originale Version aus dem Downloadbereich des entsprechenden Projektes herunterzuladen. Man muss allerding darauf achten, dass der Schalter 'Direct Download Link' auf 'on' steht.
Als jemand, der seit fast 9 Jahren auch ein kleines sf-Projekt (ohne diesen sf-Installer!) hat, komme ich auch langsam ins Grübeln. Mal sehen, was die sich noch einfallen lassen…
Der Hinweis, dass bei Altprojekten die Programmierer beteiligt waren, findet sich indirekt im Text und im verlinkten Artikel.