Prijavljen je navodni problem privatnosti s Unity Reddit Scopeom u Ubuntuu.
Prvo je istaknuo administrator Reddita, a zatim ga je istražio stalni FOSS Benjamin Kerensa, tvrdi se da je pretraživanje pojmovi upisani u okvir za pretraživanje Unity Dash prijavljuju se u zapise poslužitelja popularne web stranice za dijeljenje veza koju stvaraju korisnici Reddit.
Kerensa, koja je pogrešku uredno prijavila tvrtki Canonical, kaže da se greška usredsređuje na upotrebu URL-a koji nije SSL (Secure Socket Layer) putem kojeg se šalju upiti korisnika. Umjesto toga, pojmovi za pretraživanje isporučuju se putem običnog HTTP teksta, pa ih poslužitelj kasnije bilježi.
Problem je prvi put izašao na vidjelo kada je administrator Reddita alinth primijetio zahtjev za instalaciju aplikacije podnijet u zapisnicima poslužitelja web stranice. Prijavljivanje nalaza u postu pod naslovom 'Ispostavilo se da će nam jedinstvo za reddit poslati gotovo sve‘, alinth objašnjava:
“Vidio sam zanimljiv zahtjev koji je večeras stigao na web mjesto. Mislio sam da netko pokušava izvesti neki jadni napad na daljinsko izvršavanje dok nisam primijetio korisnički agent. Nekako zabavno. ”
Dotični korisnički agent glasi:
{Unity-scope-reddit | www.reddit.com |}
A pratio ga je an 'Apt-get install' naredbu koju je jedan korisnik greškom ili naivno unio u Unity Dash, kako je Ubuntu sigurnosni inženjer Marc Deslauriers pojasnio u sljedećem postu na niti:
"Izgleda da je netko upisao" sudo apt-get install startupmanager "u okvir za globalno pretraživanje crtice umjesto u terminal."
Još uvijek nije jasno u kojoj mjeri pretpostavljeni nedostatak doseže ili koje su verzije Ubuntua pogođene.
Nehotično slanje pojmova za pretraživanje na poslužitelj treće strane bez šifriranje nije fantastična vijest. Iako Reddit vjerojatno neće učiniti ništa zlo.
Više je teorijsko pitanje nego jedno zbog čega biste trebali biti previše naglašeni. No, u svjetlu prijašnjih problema s privatnošću pri rukovanju popisima rezultata Amazonovih proizvoda - problem koji je osvojio Canonical an zloglasnu nagradu 'Big Brother' - ova najnovija drama samo će poslužiti za dodavanje streljiva argumentima Unityjevih klevetnika.
No, postoji barem mrvica utjehe u ovom pitanju - ako se pokaže da je obuhvatniji od (dosad) prijavljeni unos u dnevnik - to je da upiti koji se prosljeđuju Redditu (i samo Redditu, a ne Big Evil Corp ™) ne sadrže identifikacijske podatke. Pojmovi za pretraživanje ne mogu se pratiti, vezati ili na drugi način pratiti do osobe koja ih je izradila.
David Callé, autor Reddit opsega, rekao mi je to u e-poruci popravak je već na putu i trebao bi biti prebačen na Smart Scopes Server početkom ovog tjedna. Problemi s Reddit SSL -om u cjelini znače da to možda nije dovoljno.
U ovom scenariju Callé kaže da bi opseg Reddita prema zadanim postavkama bio onemogućen; neće pretraživati uslugu čak i ako bi je obično pokrenuo upit koji joj odgovara, dodajući:
“Što znači da ćete za postavljanje upita Reddit morati to učiniti izričito (s ključnom riječi, poput “r: ubuntu” ili “reddit: ubuntu”, ili aktiviranjem filtra Reddit). To je ono što je već učinjeno s, na primjer, opsegom SoundClouda. ”
Iako Reddit pruža detaljnu API dokumentaciju koja objašnjava kako slati upite koristeći SSL, ona je, kako primjećuje Kerensa, prilično skrivena.
Ako koristite opseg i zabrinuti ste zbog curenja podataka, možete onemogućiti Reddit Scope kroz Application Scope dok se popravak ne nađe na poslužitelju Smart Scopes. Time ćete spriječiti dohvaćanje rezultata Reddita u vaše ime.
Daljinska pretraživanja mogu se u potpunosti isključiti putem Privatnost okno u Postavke sustava.
Sve Ubuntu, Daily. Od 2009. godine.