A .NET core alapértelmezésben kémkedik a felhasználók után?

 ( trey | 2017. október 10., kedd - 7:32 )

A .NET core felhasználók körülbelül egy éve jelezték a Microsoftnak, hogy az alapértelmezetten bekapcsolt "telemetria" funkciókon keresztüli adatgyűjtések privacy/security szempontból aggályosak. A Microsoftnál a panasz eddig süket fülekre talált...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez a Linuxos .NET-eket is érinti?

The feature collects the following pieces of data:

The command being used (e.g. “build”, “restore”)
The ExitCode of the command
For test projects, the test runner being used
The timestamp of invocation
The framework used
Whether runtime IDs are present in the “runtimes” node
The CLI version being used

The feature will not collect any personal data, such as usernames or emails. It will not scan your code and not extract any project-level data that can be considered sensitive, such as name, repo or author (if you set those in your project.json). We want to know how the tools are used, not what you are using the tools to build. If you find sensitive data being collected, that’s a bug. Please file an issue and it will be fixed.

-- a Microsoftnál dolgozom (kiemelések tőlem)

"I think MSFT is missing the point here. Opt out data collection is not welcome regardless of the outcome or data being collected."

és

"As a followup to my last post, got the word today that since the dotnet runtime will not allowed to be used in production, the Xamarin.iOS associated project is also dead as any C#/F# code sharing with the backend is now gone.

This was a 25K participant (patients/researchers/doctors) Apple HealthKit/ResearchKit/CareKit Xamarin.iOS app (iPad Pro dashboard for researchers & doctors, iPhone and A-Watch for patients). Killed due to opt-out telemetry that should not exist in the first place, my head is still spinning..."

--
trey @ gépház

Igaz, tényleg lehetne máshogy. Az mondjuk fura, hogy a HIPAA-audit azon bukott el, hogy környezeti változó az opt-out switch. Hogy lenne jó? A környezeti változót sokkal egyszerűbb monitorozni akár automatizált eszközökkel, mint hogy mondjuk a user mit kattint be egy GUI-n.

Vagy ha már úgyis opensource az egész, nem lehet belőle kivenni a telemetriát? (Nem költői kérdés.)

Vagy miért nem baj, hogy az ebben a projektben is felhasznált HealthKit már tud automatikusan biztonsági mentést csinálni az iCloud-ba? (Ugye tudjuk, hogy a sem az in-transit, sem az at-rest titkosítás nem oldja meg a személyes adatok problémáját.)

Miért pont azon bukik el a projekt, hogy a framework deperszonalizált módon visszariportolja a telepített CLI verzióját? Elhiszem, hogy így történt, de nekem ez furcsa, főleg mert.

Bónusz kérdés: miért ilyen clickbait a cím? :D

Mert megbukott egy, az amerikai ipar számára fontos auditon.

"Bónusz kérdés: miért ilyen clickbait a cím? :D"

Ez a forrás eredeti cím (NET core spies on users by default), tompítva.

Én meg azt nem értem, hogy ha lehetne máshogy is, akkor a negatív visszajelzések ellenére és az open source körökben ismert gyakorlatok, elvárások fényében miért nem lehet változtatni ezen?

--
trey @ gépház

> Mert megbukott egy, az amerikai ipar számára fontos auditon.

De pont ezt kérdezem, hogy miért? Az egészségügy rengeteg országban tele van MS termékekkel, ott nem volt baj? Van HIPAA-compliant felhőnk is, de egy dev frameworkot nem tudtunk megcsinálni rendesen?

Fogalmam sincs, hogy miért. Én nem vagyok HIPAA auditor.

Viszont az én kérdésemre nem válaszoltál.

--
trey @ gépház

Mert nem tudom rá a választ. :)

Az ilyen adatgyűjtők sose gyűjtenek érzékeny adatot, aztán amikor kiderül, hogy mégis, az természetesen mindig csak bug. (Nem csak az ms féle adatgyűjtőkre mondom ezt most, hanem mindre.)

A cucc fent van githubon. Nem lehet megnézni, hogy mit küld? :)

Leírtam, hogy nem erről az esetről beszéltem, hanem arra a sablonszövegre reflektáltam, hogy mindig ez a duma (más cégeknél is), hogy nem gyűjtenek semmi "olyat", ha meg mégis, az csakis bug lehet.

Visual Studio 2015 C++ Compiler Secretly Inserts Telemetry Code Into Binaries

https://imgur.com/TiVrXyf

via

In the meantime, users who have a copy of VS2015 Update 2 and wish to turn off the telemetry functionality currently being compiled into their code should add “notelemetry.obj” to their linker command line. 

Ez abból a szempontból is érdekes, hogy el kell fogadtatnod a vele fordított projekted felhasználóval.