Quel est le degré de confidentialité des rapports de plantage automatiques établis par répart?

8

J'ai remarqué qu'à partir d'Ubuntu 13.10 (ou peut-être 13.04), les rapports de plantage de Thunderbird sont traités par proportion, alors qu'ils étaient auparavant gérés par l'outil de Mozilla.

Question

Quel est le degré de confidentialité des rapports de plantage automatiques établis par répart? Je n'ai vu aucune option pour dire que la mémoire du programme peut contenir des informations confidentielles.

Rechercher avant de poster

Je ne pouvais pas voir d'informations officielles sur les pages Ubuntu, seulement Comment utiliser Apport pour signaler des bogues dans Ubuntu | Manuel Ubuntu daté de 2011 qui dit:

Si vous saisissiez des informations confidentielles au moment de l'accident, vous devez cliquer sur «Annuler».

Questions supplémentaires

Par exemple, si Thunderbird, Evolution ou tout autre outil de messagerie tombe en panne:

  • le rapport inclura-t-il l'état interne du programme, y compris éventuellement des parties d'e-mails qui peuvent inclure du contenu confidentiel (par exemple professionnel)?
  • ce contenu éventuellement confidentiel sera-t-il envoyé aux serveurs Ubuntu? (cela seul peut être un problème)
  • si oui, sera-t-il traité de manière confidentielle ou rendu public un bug?

Merci pour votre attention.

Stéphane Gourichon
la source

Réponses:

6

Tous les rapports de bogues plantés déposés par Apport sont marqués privés par défaut et ne sont visibles que par les personnes disposant des privilèges appropriés (généralement, les membres de contrôle des bogues pour les bogues déposés sur les packages du référentiel).

Habituellement, les rapports de bogues de plantage ne contiennent aucune information sensible (principalement parce qu'ils n'impliquent pas de logiciel traitant des informations privées). Cependant, il est toujours possible CoreDump.gzet Stacktrace.txtattaché au rapport de bogue contient des informations sensibles comme celle que vous avez décrite. Par conséquent, ils sont marqués privés pour être du bon côté.

Lorsque vous déposez un rapport de bogue, vous pouvez vérifier quelles informations sont téléchargées pour votre propre bien. Voici une image d'une boîte de dialogue de plantage Apport.

Bogue Apport

Vous devez examiner attentivement les informations fournies sous CoreDump et Stacktrace. S'il contient des informations que vous ne souhaitez pas télécharger, vous pouvez annuler le processus.

Et Whoopsie?

Depuis le 12.04, Apport collecte silencieusement les données de plantage pour Whoopsie sans nécessiter d'interaction avec l'utilisateur. Ce n'est pas en soi un problème de confidentialité direct, car seules les personnes qui ont signé l'accord de non-divulgation ont accès au traqueur d'erreurs Ubuntu .

Voir également:

Une note finale sur la politique de confidentialité

Tous les rapports de bogues que vous soumettez sont couverts par la politique de confidentialité d'Ubuntu . Citant des sections pertinentes de celui-ci pour référence:

Rapports d'erreurs

Lorsque vous choisissez d'envoyer un rapport d'erreur, il inclut un identifiant unique pour votre ordinateur. Cet identifiant ne vous identifie pas, sauf si vous (ou quelqu'un agissant en votre nom) le divulgue séparément. Un rapport d'erreur peut inclure des informations personnelles telles que l'état des programmes en cours d'exécution à l'époque. Vous pouvez bloquer les futurs rapports d'erreur à partir du panneau de confidentialité des Paramètres système.

jokerdino
la source
1

Les rapports d'erreur peuvent révéler des informations privées. Si vous travaillez sur quelque chose qui traite d'informations confidentielles ou sensibles, vous ne devez pas autoriser la transmission du rapport d'erreur.

  • on ne peut pas être sûr de qui accédera au rapport d'erreur, ni à quel point les personnes qui y ont accès sont bien intentionnées.

  • même si peu d'informations sont incluses dans le rapport d'erreur, il est possible de déduire plus d'informations (par exemple, des entrées) lors de la recherche des causes de l'erreur.

Des recherches ont été menées dans ce domaine au cours des dernières années. Par exemple: http://www.gsd.inesc-id.pt/~romanop/files/papers/ESOP14.pdf http://research.microsoft.com/en-us/projects/betterbug/castro08better.pdf

João Matos
la source
Pointeurs de documents de recherche intéressants! Merci João Matos.
Stéphane Gourichon
Je voulais inclure plus de liens vers d'autres œuvres dans ce sujet, mais seulement deux étaient autorisés, car je suis un nouvel utilisateur.
João Matos