Утечка поисковых запросов пользователей Ubuntu

Администратор популярного сайта Reddit сообщил о факте утечки поисковых запросов пользователей Ubuntu.

Оказалось, что в журналы доступа web-сервера Reddit вместе со служебной информацией попал поисковый запрос, который не предназначался для поиска по Reddit:

«Я обнаружил интересный запрос, пришедший на сайт этим вечером. Сначала я подумал, что кто-то предпринимает попытку атаки, пока не увидел строку user agent. Как бы забавно:

[26/Apr/2014:00:07:19.266] frontend loggedout/app-18-8002 {unity-scope-reddit|www.reddit.com|} "GET /r/sudo%20apt-get%20install%20startupmanager/hot.json?limit=25 HTTP/1.1"»

Из текста запроса можно понять, что какой-то пользователь Ubuntu перепутал окно поиска с терминалом и ввел команду "sudo apt-get install startupmanager". По непонятным причинам, случилась утечка и запрос попал на сайт Reddit, хотя и не предназначался для него. Получается, что некоторые запросы в Unity могут стать доступными третьей стороне, хотя г-н Шаттлворт ранее заявлял, что поисковые запросы обрабатываются только серверами Canonical и никуда не передаются.

Слив пользовательских данных описан на багтрекере Ubuntu. Ошибке выставлен высокий уровень важности.

Утечка поисковых запросов пользователей Ubuntu

А Ричард Столлман предупреждал...

Еще 2 года назад легендарный RMS призвал отказаться от использования Ubuntu. По словам Столлмена, Ubuntu 12.10 содержит «шпионский код», что ставит эту систему в один ряд с Windows по части подсматривания за привычками и интересами пользователей.

А что говорит фонд Electronic Frontier Foundation, отстаивающий права и свободы пользователей в цифровую эпоху?

В 2012 году организация EFF предупредила пользователей Ubuntu: «проблема конфиденциальности не ограничивается конкретной ситуацией с Amazon, поскольку теперь через Dash пользовательские данные могут быть отправлены и другим «третьим лицам» (и использоваться там по усмотрению этих лиц)».

Умные выводы сделали давно, остальные продолжают пользоваться Ubuntu.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline

Ну бывает и так, поэтому первичные настройки ufw и iptables никто не отменял до настройки сетевых соединений:)))) с первичным удалением всех сетевых приложений, которые не необходимы пользователю, еще до обновлений...

Ваша оценка: Нет Средняя оценка: 3 (3 votes)

ufw и iptables

Можно ещё проще:
Параметры системы\ Защита и приватность\
Файлы и приложения\ Отслеживать использование файлов и приложений = 0
Поиск ( слева третья вкладка )\ Отображать результаты поиска в Интернете = 0

Это для любого здравомыслящего шаги минимума. Причем, без паранойи.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
Texnoline

И то, что вы указали также в первых шагах, делаю всегда, начиная с Ubuntu 12.04 :))))) Но для ленивых есть красивый GUI — Gufw, и там легко и довольно комфортно настраиваются правила к службам и портам и ведется журнал соединений по протоколам и портам, так что всегда можно нагородить баррикад и рвов накопать, а уж для истинных эстетов — iptables!^)))))))))))))

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

можно поставить много консольных утилит из репов стандартных даже, и мониторить и процессы и порты и службы....по максимуму, все добро занимает всего 100 метров на разделе, зато чуствуешь себя в бункере и можно спать почти спокойно, иногда просыпаясь...:))))

Ваша оценка: Нет
pomodor

Файерволом надежнее. Тем более, что все равно придется порезать всякие счетчики, виджеты соцсетей, рекламу и прочее говно. Заодно и сервера Шаттлворта для сбора данных можно порезать. ;)

Пользоваться гуем лично я не советую. Сначала удобно, потом возникает путаница и появляются накладки. Например, если юзер сначала настроил iptables через сторонний гуй, а потом установил какую-нибудь систему автоматического отстрела мудаков типа fail2ban.

Единственное, что советую прикрутить к iptables — программу iptables-persistent. Она позволяет работать с iptables как с сервисом. Это очень полезно, так как правила для фаейрвола слетят при первой же перезагрузке. Этот пакет позволяет делать так:

service iptables-persistent save

И после перезагрузки правила восстановятся. Все остальное на фиг не надо, ИМХО.

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
comrade

Кстати, возможно интересная идея – чтобы в поисковой строке можно было терминальные команды выполнять
(По нажатием рядом со строкой кнопочки "T" или какому-нибудь shift-enter'у, или какая там комбинация свободна...)
И чтобы терминал с результатами при этом раскрывался.

Или так уже сделано давно?

Ваша оценка: Нет
pomodor

Дружище, не ожидал этой идеи от Вас, от старого матерого линуксоида. Alt-F2 же. :)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
comrade

Alt-F2 я пользуюсь, конечно.
И подобных симпатичных поисков уже несколько подобрал:

Вот и удивляюсь – неужели в поиске юнити так не сделано?
(Давненько уже не запускал юнити, не тянет что-то;-)

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
pomodor

Так это же опасно. Например, юзер желает почитать в интернете о команде "rm -rf /" и вводит строку в поисковой форме. Оболочка видит, что это корректная команда для терминала и исполняет ее.

Ваша оценка: Нет Средняя оценка: 4 (2 votes)
comrade

Нее, поиск за пользователя думать не должен – чтобы строка сработала как терминал, должна быть другая кнопочка рядом с кнопкой «искать», и другая комбинация клавиш (не энтер, а шифт-энтер, например).

К тому же нефиг под рутом работать (и при этом внешним поиском пользоваться).
Тогда и
rm -rf /
не выполнится:))

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
pomodor

Таки выполнится и похерит все пользовательские данные в директории /home/user. Останутся системные файлы, принадлежащие root и которые можно легко восстановить с дистрибутива.

Если будет дополнительная кнопка, с помощью которой нужно трактовать запрос вручную, то у задумки теряется смысл. Проще вывести иконку терминала на панель запуска.

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
comrade

И все (доступные пользователю) диски из /media ?
Ой-ой! :-O

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
pomodor

Только что проверил на live-образе Tails. Как бы срабатывает защита от дурака и пользователя предупреждают, что ничего хорошего из этой затеи не получится. Если пользователь настаивает и добавляет опцию --no-preserve-root, то выпиливается всё, что доступно для удаления. :) После этого система продолжает работать как ни в чем не бывало. :)

Ваша оценка: Нет Средняя оценка: 4 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.