Jak poufne są automatyczne raporty o awariach tworzone przez apport?

Zauważyłem, że począwszy od Ubuntu 13.10 (a może 13.04), raporty o awariach Thunderbirda są obsługiwane przez apport, podczas gdy wcześniej były obsługiwane przez narzędzie Mozilli.

Pytanie

Jak poufne są automatyczne raporty o awariach tworzone przez apport? Nie widziałem żadnej opcji, aby powiedzieć, że pamięć programu może zawierać poufne informacje.

Wyszukaj przed opublikowaniem

Nie widziałem żadnych oficjalnych informacji ze stron Ubuntu, tylko jak używać Apport do zgłaszania błędów w Ubuntu | Podręcznik Ubuntu z 2011 roku, który mówi:

Jeśli wprowadzałeś poufne informacje o awarii, powinieneś kliknąć „Anuluj”.

Dodatkowe pytania

Na przykład, jeśli nastąpi awaria thunderbirda, ewolucji lub dowolnego narzędzia pocztowego:

• czy raport będzie zawierał wewnętrzny stan programu, w tym ewentualnie e-maile, które mogą zawierać poufne (np. biznesowe) treści?
• czy te ewentualnie poufne treści zostaną wysłane na serwery Ubuntu? (to samo może stanowić problem)
• jeśli tak, czy zostanie potraktowane jako poufne lub zostanie publicznie zgłoszone zgłoszenie błędu?

Dziękuję za uwagę.

Wszystkie raporty o błędach zgłoszone przez Apport są domyślnie oznaczone jako prywatne i są widoczne tylko dla osób z odpowiednimi uprawnieniami (ogólnie członkowie kontroli błędów dla błędów zgłoszonych na pakietach z repozytorium).

Zwykle raporty o błędach awarii nie zawierają żadnych poufnych informacji (głównie dlatego, że nie obejmują oprogramowania zajmującego się prywatnymi informacjami). Jednak nadal jest to możliwe CoreDump.gzi Stacktrace.txtdołączone do raportu o błędzie zawierają poufne informacje, takie jak te, które opisałeś. Dlatego są oznaczone jako prywatne, aby być po bezpiecznej stronie.

Kiedy zgłaszasz raport o błędzie, możesz sprawdzić, jakie informacje są przesyłane dla własnego dobra. Oto obraz okna dialogowego awarii Apport.

Powinieneś dokładnie zapoznać się z informacjami podanymi w CoreDump i Stacktrace. Jeśli zawiera informacje, że przesyłanie nie jest dla ciebie wygodne, możesz anulować proces.

Co z Whoopsie?

Od 12.04 Apport po cichu zbiera dane o awariach dla Whoopsie, nie wymagając żadnej interakcji ze strony użytkownika. Samo to nie stanowi bezpośredniego problemu z prywatnością, ponieważ tylko osoby, które podpisały umowę o zachowaniu poufności, mają dostęp do narzędzia do śledzenia błędów Ubuntu .

Zobacz też:

• Jak włączyć lub wyłączyć Apport?
• Co to jest proces „Whoopsie” i jak mogę go usunąć?
• Jak mogę śledzić błąd, który spowodował awarię i został zgłoszony za pośrednictwem apport / whoopsie?

Ostatnia uwaga na temat polityki prywatności

Wszystkie przesyłane raporty o błędach są objęte polityką prywatności Ubuntu . Cytując odpowiednie sekcje w celach informacyjnych:

Raporty o błędach

Gdy zdecydujesz się wysłać raport o błędzie, będzie on zawierał unikalny identyfikator komputera. Ten identyfikator Cię nie identyfikuje, chyba że Ty (lub osoba działająca w Twoim imieniu) ujawnisz go osobno. Raport o błędzie może zawierać dane osobowe, takie jak stan programów uruchomionych w tym czasie. Możesz zablokować przyszłe raporty błędów z panelu prywatności w Ustawieniach systemu.

Raporty o błędach mogą ujawniać prywatne informacje. Jeśli pracowali nad czymś, co dotyczy poufnych lub wrażliwych informacji, należy nie zezwolić na transmisję raportu o błędzie.

• nie można mieć pewności, kto uzyska dostęp do raportu o błędzie, ani o tym, jak dobre są intencje osób, które mają do niego dostęp.

• nawet jeśli w raporcie o błędach zawarta jest niewielka ilość informacji, możliwe jest uzyskanie większej ilości informacji (np. danych wejściowych) podczas wyszukiwania przyczyn błędu.

W ostatnich latach przeprowadzono pewne badania w tej dziedzinie. Na przykład: http://www.gsd.inesc-id.pt/~romanop/files/papers/ESOP14.pdf http://research.microsoft.com/en-us/projects/betterbug/castro08better.pdf