Hacker News 의견

해커뉴스 댓글 요약

1. 업스트림 프로젝트의 기능을 제거하고 동일한 이름으로 배포하는 것에 대한 우려

• 업스트림 프로젝트에서 구현한 기능을 제거하고 동일한 이름으로 배포하는 것은 문제의 소지가 있음
• 이런 방향으로 가려면 포크해서 다른 이름으로 배포해야 함
• 과거 Debian의 Chromium 패키지 관리자가 임의로 확장 기능 설치를 비활성화했던 사례 언급

2. 보안 측면에서 네트워크 기능 제거가 합리적이라는 의견

• 패스워드 관리자에서 네트워크 기능과 브라우저 통합은 잠재적 취약점이 될 수 있음
• 네트워크 관련 기능 없이 신뢰할 수 있는 데이터베이스만 사용하면 취약점이 발견되더라도 악용이 불가능함
• 네트워크 기능이 포함된 완전한 버전의 패키지도 Debian에 존재하므로 원하는 사용자는 keepassxc-full을 설치할 수 있음
• 다만 업스트림을 "형편없다"고 부르는 것은 생산적이지 않으며, keepassxc-lite와 keepassxc-full이 더 적절한 패키지명일 수 있음

3. "full"과 "minimal" 버전을 모두 패키징하는 것이 올바른 선택이라는 의견 제시

• 두 버전 간에 Conflicts 관계를 정의하고 Provides와 Replaces 태그를 활용하여 사용자가 선택할 수 있게 해야 함
• 이것이 명백한 선택이 아닌 이유에 대한 의문 제기

4. Arch Linux에서 사용자 동의 없이 passim 패키지에 의존하게 하는 문제 제기

• fwupd 패키지가 사용자 동의 없이 passim에 의존하도록 설정되어 있음
• passim은 0.0.0.0:27500에서 웹 서버를 실행하며 취약점이 많은 GnuTLS를 사용함
• 이러한 설정은 악용될 가능성이 있어 우려됨

5. 최소한의 놀라움 원칙에 따라 문서화된 위험이 없는 한 핵심 기능을 비활성화해서는 안 된다는 의견

• KeePassXC의 기능들은 사용자의 명시적 개입 없이는 취약점의 원인이 되지 않음
• 브라우저 통합 기능은 클립보드 접근보다 훨씬 안전하며, 프로젝트의 비전과도 맞지 않음
• 이 변경으로 인해 혜택을 받을 사용자는 극소수인 반면, 브라우저 통합 기능을 사용하는 사람들에게는 심각한 불편을 초래함

6. 기존 사용자를 깨뜨리지 않고도 구분이 가능하므로 Debian 패키지 관리자의 잘못된 결정이라는 주장

• 네트워킹 기능 없는 KeePassXC를 제공하는 것은 좋지만, 브라우저 통합을 틈새 기능으로 보는 것은 동떨어진 생각임
• Debian의 KeePassXC 사용자 중 절반 이상이 이번 결정으로 인해 깜짝 놀랄 것임
• 궁극적으로 패키지 관리자의 결정이지만 좋은 결정은 아님

7. KeePassXC 관리자의 의견 인용

• 새로운 패키징 방식으로 인해 사람들의 작업 흐름이 망가졌다는 보고를 받음
• 사용자가 Yubikey 기능이 제거되어 데이터베이스에 접근할 수 없게 되었다는 사례도 있음
• 가장 중요한 비밀에 대한 접근을 잃은 사람들은 당황스러운 순간에 비이성적인 행동을 할 수 있음

8. 업스트림 프로젝트의 의도와 다르게 패키지를 변경할 경우 다른 이름으로 배포해야 한다는 의견

• 다운스트림 관리자가 패키지를 변경할 경우 다른 이름으로 배포하고 수정된 버전으로 인한 모든 버그 리포트를 처리해야 함

9. 최신 논의는 GitHub 이슈에서 확인할 수 있다는 안내

10. 제목이 잘못되었다는 지적

• 원래 게시물은 네트워킹 기능뿐만 아니라 모든 기능이 제거되었다고 언급했으며, 이는 사실임
• 오프라인 기능을 포함한 모든 선택적 기능이 빌드 중에 끄기로 설정되었음