Quão confidenciais são os relatórios automáticos de falhas feitos pelo apport?


8

Percebi que, começando com o Ubuntu 13.10 (ou talvez 13.04), os relatórios de falhas do Thunderbird são tratados pelo apport, enquanto eles foram manipulados pela ferramenta da Mozilla antes.

Questão

Quão confidenciais são os relatórios automáticos de falhas feitos pelo apport? Não vi nenhuma opção para dizer que a memória do programa pode incluir informações confidenciais.

Pesquise antes de publicar

Não consegui ver nenhuma informação oficial das páginas do Ubuntu, apenas Como usar o Apport para relatar bugs no Ubuntu | Manual do Ubuntu datado de 2011 que diz:

Se você estava inserindo informações confidenciais quando ocorreu a falha, clique em 'Cancelar'.

Questões adicionais

Por exemplo, se thunderbird, evolution ou qualquer ferramenta de correio falhar:

  • o relatório incluirá o estado interno do programa, possivelmente incluindo partes de e-mails que podem incluir conteúdo confidencial (por exemplo, comercial)?
  • esse conteúdo possivelmente confidencial será enviado aos servidores Ubuntu? (isso por si só pode ser um problema)
  • em caso afirmativo, será tratado confidencialmente ou será divulgado um bug público?

Obrigado pela sua atenção.

Respostas:


6

Todos os relatórios de erros de falha arquivados pelo Apport são marcados como privados por padrão e são visíveis apenas para pessoas com privilégios relevantes (geralmente, os membros do Controle de Erros para erros arquivados em pacotes do repositório).

Normalmente, os relatórios de erros de travamento não contêm informações confidenciais (principalmente porque não envolvem software que lida com informações particulares). No entanto, ainda é possível CoreDump.gze, Stacktrace.txtanexado ao relatório de erros, contém informações confidenciais como a que você descreveu. Portanto, eles são marcados como privados por estarem do lado seguro.

Ao enviar um relatório de bug, você pode revisar quais informações estão sendo carregadas para seu próprio bem. Aqui está uma imagem de uma caixa de diálogo de falha do Apport.

Apport bug

Você deve examinar atentamente as informações fornecidas no CoreDump e Stacktrace. Se houver informações que você não se sinta à vontade para fazer upload, poderá cancelar o processo.

E o Whoopsie?

Desde 12.04, o Apport coleta silenciosamente dados de falhas do Whoopsie sem exigir nenhuma interação do usuário. Isso, por si só, não é um problema direto de privacidade, porque apenas as pessoas que assinaram o contrato de confidencialidade têm acesso ao rastreador de erros do Ubuntu .

Veja também:

Uma nota final sobre a política de privacidade

Todos os relatórios de bugs que você envia são cobertos pela política de privacidade do Ubuntu . Citando seções relevantes para referência:

Relatórios de erro

Quando você optou por enviar um relatório de erro, ele inclui um identificador exclusivo para o seu computador. Esse identificador não o identifica, a menos que você (ou alguém agindo em seu nome) o divulgue separadamente. Um relatório de erro pode incluir informações pessoais, como o estado dos programas em execução no momento. Você pode bloquear futuros relatórios de erros no painel de privacidade das Configurações do sistema.


1

Os relatórios de erros podem revelar informações particulares. Se você estava trabalhando em algo que lida com informações confidenciais ou sensíveis, você deve não autorizar a transmissão do relatório de erro.

  • não se pode ter certeza de quem acessará o relatório de erros, nem quão bem-intencionadas são as pessoas que o acessam.

  • mesmo que pouca informação seja incluída no relatório de erros, é possível deduzir mais informações (por exemplo, entrada) ao procurar as causas do erro.

Houve alguma pesquisa nesta área, nos últimos anos. Por exemplo: http://www.gsd.inesc-id.pt/~romanop/files/papers/ESOP14.pdf http://research.microsoft.com/en-us/projects/betterbug/castro08better.pdf


Ponteiros de papel de pesquisa interessantes! Obrigado João Matos.
Stéphane Gourichon

Queria incluir mais links para outros trabalhos neste assunto, porém apenas dois foram permitidos, pois sou um novo usuário.
João Matos
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.