![10 najboljših prikritih iger za vaš Android v letu 2020](/f/9f53f7a887963fd38a7981a505378af1.jpg?width=100&height=100)
Poročali so o domnevni težavi z zasebnostjo s področjem Unity Reddit v Ubuntuju.
Najprej ga je izpostavil skrbnik Reddita, nato pa ga je preiskal vodilni FOSS Benjamin Kerensa. izrazi, vneseni v iskalno polje Unity Dash, se beležijo v zapisih strežnika priljubljenega spletnega mesta za skupno rabo povezav, ki ga ustvarijo uporabniki Reddit.
Kerensa, ki je napako ustrezno prijavila Canonicalu, pravi, da se napaka osredotoča na uporabo URL-ja, ki ni SSL (Secure Socket Layer), prek katerega se pošiljajo poizvedbe uporabnikov. Iskalni izrazi se namesto tega pošiljajo prek navadnega besedila HTTP in jih strežnik nato zabeleži.
Težava je prvič prišla na dan, ko je skrbnik Reddita tujca opazil zahtevo za namestitev aplikacije, vloženo v strežniške dnevnike spletnega mesta. Poročanje o najdbi v objavi z naslovom "Izkazalo se je, da nam bo področje enotnosti za reddit poslalo skoraj vse‘, tujca razlaga:
»Zvečer sem na spletno stran prišla zanimiva prošnja. Mislil sem, da nekdo poskuša izvesti nekakšen šepav napad na daljavo, dokler nisem opazil uporabniškega agenta. Nekako zabavno. "
Zadevni uporabniški agent se glasi:
{unit-scope-reddit | www.reddit.com |}
In sledila mu je an "Apt-get install" ukaz, da je en uporabnik pomotoma ali naivno vstopil v Unity Dash, kot je varnostni inženir Ubuntu Marc Deslauriers pojasnil v nadaljnjem prispevku v nit:
"Videti je, da je nekdo v globalno iskalno polje pomišljaja namesto v terminal vnesel" sudo apt-get install startupmanager "."
Zaenkrat še ni jasno, v kolikšni meri seže domnevna napaka ali katere različice Ubuntuja so prizadete.
Nenamerno pošiljanje iskalnih izrazov na strežnik drugega ponudnika brez šifriranje ni fantastična novica. Medtem ko Reddit verjetno ne bo storil nič slabega.
Bolj teoretsko vprašanje kot eno, zaradi katerega bi morali biti preveč v stresu. Toda glede na prejšnje pomisleke glede zasebnosti pri obravnavi seznamov rezultatov Amazonovih izdelkov - vprašanje, ki je Canonical an osvojilo zloglasno nagrado 'Big Brother' - ta zadnja drama bo služila le za dodajanje streliva argumentom ogorčevalcev Unityja.
Toda v tem vprašanju je vsaj kanček tolažbe - če se izkaže, da je obsežnejši od (doslej) prijavljeni vnos v dnevnik - gre za to, da poizvedbe, ki se pošiljajo v Reddit (in samo v Reddit, ne v Big Evil Corp ™), ne vsebujejo identifikacijske podatke. Iskalnim izrazom ni mogoče slediti, jih vezati ali kako drugače izslediti do osebe, ki jih je ustvarila.
David Callé, avtor področja Reddit, mi je po e-pošti povedal, da popravek je že na poti in bi ga morali v začetku tega tedna potisniti na strežnik Smart Scopes. Težave s Reddit SSL kot celoto pomenijo, da to morda ne bo dovolj.
V tem scenariju Callé pravi, da bi bil obseg Reddita privzeto onemogočen; ne bi iskal storitve, tudi če bi jo običajno sprožila poizvedba, ki se ujema z njo, in dodala:
“To pomeni, da boste za poizvedovanje po Redditu morali to narediti izrecno (s ključno besedo, na primer »r: ubuntu« ali »reddit: ubuntu« ali z aktiviranjem filtra Reddit). To je že storjeno na primer z obsegom SoundCloud. "
Čeprav Reddit ponuja podrobno dokumentacijo API -ja, ki pojasnjuje, kako pošiljati poizvedbe s protokolom SSL, je, kot ugotavlja Kerensa, precej skrito.
Če uporabljate obseg in ste zaskrbljeni zaradi puščanja, lahko onemogočite Reddit Scope prek področja uporabe, dokler popravek ne pristane na strežniku Smart Scopes. S tem boste preprečili pridobivanje rezultatov Reddita v vašem imenu.
Iskanje na daljavo lahko v celoti izklopite prek Zasebnost podokno v Sistemske nastavitve.
Vsak dan Ubuntu. Od leta 2009.