web-dev-qa-db-fra.com

Quel est le degré de confidentialité des rapports d’incident automatiques établis par apport?

J'ai remarqué que, à partir d'Ubuntu 13.10 (ou peut-être 13.04), les rapports d'incidents Thunderbird sont gérés par apport, alors qu'ils étaient auparavant gérés par l'outil de Mozilla.

Question

Quel est le degré de confidentialité des rapports d’incident automatiques établis par apport? Je n'ai vu aucune option indiquant que la mémoire du programme peut contenir des informations confidentielles.

Recherchez avant de poster

Je ne pouvais voir aucune information officielle des pages Ubuntu, seulement Comment utiliser Apport pour rapporter des bogues dans Ubuntu | Manuel Ubunt daté de 2011 qui dit:

Si vous saisissiez des informations confidentielles lorsque le crash s'est produit, vous devez cliquer sur "Annuler".

Questions supplémentaires

Par exemple, si Thunderbird, evolution ou un autre outil de messagerie se bloque:

  • le rapport inclura-t-il l'état interne du programme, en incluant éventuellement des parties de courriers électroniques pouvant inclure du contenu confidentiel (par exemple, professionnel)?
  • ce contenu éventuellement confidentiel sera-t-il envoyé aux serveurs Ubuntu? (cela seul peut être un problème)
  • si oui, sera-t-il traité confidentiellement ou fera-t-il l'objet d'un rapport de bogue public?

Merci de votre attention.

8

Tous les rapports de bogues bloqués classés par Apport sont marqués privé par défaut et ne sont visibles que par les personnes disposant des privilèges appropriés (généralement, le membres du contrôle des bogues pour les bogues répertoriés sur les packages du référentiel ).

Généralement, les rapports de bogue sur incident ne contiennent aucune information sensible (principalement parce qu’ils n’impliquent aucun logiciel traitant des informations confidentielles). Cependant, il est toujours possible que CoreDump.gz et Stacktrace.txt attachés au rapport de bogue contiennent des informations sensibles comme celle que vous avez décrite. Par conséquent, ils sont considérés comme privés pour être sûrs.

Lorsque vous déposez un rapport de bogue, vous pouvez vérifier quelles informations sont téléchargées pour votre propre intérêt. Voici une image d'une boîte de dialogue crash Apport.

Apport bug

Vous devez consulter de près les informations fournies dans CoreDump et Stacktrace. S'il contient des informations que vous n'êtes pas à l'aise pour le téléchargement, vous pouvez annuler le processus.

Et pour Whoopsie?

Depuis 12.04, Apport collecte silencieusement les données sur les incidents pour Whoopsie sans aucune intervention de l'utilisateur. Ce n’est pas en soi un problème de confidentialité direct, car seules les personnes ayant signé l’accord de non-divulgation ont accès au suivi d’erreur Ubunt .

Voir également:

Une note finale sur la politique de confidentialité

Tous les rapports de bogues que vous soumettez sont couverts par politique de confidentialité Ubunt . Citant les sections pertinentes de celui-ci pour référence:

Rapports d'erreur

Lorsque vous choisissez d'envoyer un rapport d'erreur, il inclut un identifiant unique pour votre ordinateur. Cet identifiant ne vous identifie pas, sauf si vous (ou une personne agissant en votre nom) le divulgue séparément. Un rapport d'erreur peut inclure des informations personnelles telles que l'état des programmes en cours d'exécution. Vous pouvez bloquer les rapports d’erreur futurs à partir du panneau de confidentialité des paramètres système.

6
jokerdino

Les rapports d'erreur peuvent révéler des informations privées. Si vous travaillez sur quelque chose qui traite d'informations confidentielles ou sensibles, vous devez ne pas autoriser la transmission du rapport d'erreur.

  • on ne sait pas qui va accéder au rapport d'erreur, ni à quel point les personnes qui y ont accès sont bien intentionnées.

  • même si peu d’informations sont incluses dans le rapport d’erreur, il est possible de déduire davantage d’informations (par exemple, une entrée) lors de la recherche des causes de l’erreur.

Il y a eu des recherches dans ce domaine ces dernières années. Par exemple: http://www.gsd.inesc-id.pt/~romanop/files/papers/ESOP14.pdfhttp://research.Microsoft.com/en- us/projects/betterbug/castro08better.pdf

1
João Matos