2012年,我写了一个博客帖子标题为Metalink的卷曲,描述了我们如何为卷曲添加Metalink的支持。
今天,我们再次删除该支持。这是一个非常激烈的举动,我觉得有义务解释它在这里!卷曲7.78.0将在没有Metalink支持的情况下发货。
我们发现了几种安全问题和涉及卷曲中的Metalink支持的问题。这里没有详述问题,因为他们还没有公开。
在处理这些问题时,对于卷曲安全团队来说显而易见的是,一些问题是由于系统设计,Metalink库API和Metalink RFC所说的。他们只是难以修复卷曲侧。
Metalink使用卷曲仅限于简要记录,并没有遵循“正常”的卷曲使用模式,使其令人惊讶和非直观,这可能导致进一步的安全问题。
Metalink Library Libmetalink是6年前最后更新,并且在此之前的几年并不是非常积极的。未扫描的库意味着等待发生的安全问题。这可能是足够的原因。
Metalink需要一个XML解析库,它是复杂的代码(甚至较小的替代方案),并且到这一天通常会得到安全更新。
Metalink不是广泛使用的卷曲功能。在2020年卷曲用户调查中,只有1.4%的响应者表示他们正在使用它。在刚刚关闭的2021年的调查中,数字缩小到1.2%。在Web上搜索也显示出很少的痕迹,即使是其他工具也是如此。
Torrent格式和相关技术明确赢得了从多个来源下载的大文件并行。
这不幸的是,更改了使用--metalink的命令行。此举直接反对我们的基本原则之一,因为它不会与以前的版本保持行为。我们对此非常抱歉,但我们没有看到这种泡菜的方式,也照顾了用户的安全 - 这是我们的另一种基本原则。我们认为安全问题胜过其他问题。
上面的列表包含删除的原因。至少有些人可以提供足够的努力和工作。如果有人愿意做必要的投资,我认为我们可以娱乐能够在未来带回支持的可能性。我只是不认为这是非常可能的。