Телеметрия в KDE собирает данные, даже если выключена?

1

1

KDE’s Telemetry: The Tip Of The Iceberg? An editorial by The Cat, The PCLinuxOS Magazine, Volume 176, September, 2021.

Ъ:

Недавно на форуме PCLinuxOS обсуждали телеметрию в KDE. Её поддержка удалена в PCLinuxOS, но есть во многих других дистрибутивах.

В Debian можно удалить запускаемые файлы, но от библиотеки зависят Plasma и основные приложения. Подробнее о значении этого не написано.

Там есть цитата (возможно, взятая откуда-то ещё) из статьи на сайте Summertime Tech (см. ниже), где написано, что даже если телеметрию не включать, данные всё равно будут собираться и храниться в каталоге ~~/home/user/telemetry~~, и будут отправлены, если пользователь включит телеметрию.

Уточнение: данные лежат в

/home/user/.config/KDE
/home/user/.config/kde.org

Политика использования телеметрии проектом KDE запрещает отправлять уникальные идентификаторы, хранить и использовать совместно с данными телеметрии IP-адреса, и требует понижать точность для борьбы с fingerprinting’ом (составлением отпечатка устройства). Однако сторонние приложения, использующие KUserFeedback или имеющие доступ к каталогу с данными, могут не соблюдать эту политику.

На сайте Summertime Tech нашлись статьи от марта 2021, делящие комбинации дистрибутивов и окружений рабочего стола по наличию телеметрии на 5 категорий (английский не очень хороший; часть сайта на нидерландском):

Критерии: https://www.summertime.tech/linux.html
Классификация: https://www.summertime.tech/dtw.EN.html

Их автор считает, что средств сбора данных в дистрибутиве для повседневного использования быть вообще не должно, так как неизвестно, что́, куда и для чего они отправляют; какие функции или изменения настроек или политик приватности могут появиться в будущих версиях ПО; и кто/что может этими средствами воспользоваться не по назначению.

Категории:

0 — нет телеметрии.
1 — средства помощи сбора статистики использования дистрибутива (о местонахождении и количестве пользователей) (вроде бы, выключенные по умолчанию — непонятно написано). Автор предлагает использовать логи серверов с репозиториями.
2 — ПО просит(?) пользователя помочь отправкой неизвестно каких данных неизвестно кому и зачем.
3 — средства сбора и анализа данных и создания снапшотов для данных в случае падения или какого-то ещё события для контроля качества. // комм.: это, конечно, полезная функциональность, но говорят, в снапшоте могут оказаться пароли.
4 — встроенный неотключаемый шпионаж за приложениями и контентом пользователя. Сюда отнесены дистрибутивы Manjaro, Endeavour, Fedora и OpenSUSE Tumbleweed GNOME, а также проприетарные ОС от Microsoft, Apple и Google.

Ссылка

←	онлайн оплата на ozon.ru

NVIDIA подтвердила, что пилит поддержку GBM для совего проприетарного драйвера

→

Однако сторонние приложения, использующие KUserFeedback или имеющие доступ к каталогу с данными, могут не соблюдать эту политику.

То есть проблема в этом?

~~fernandos~~ ★★★
(05.09.21 16:09:48 MSK)
Последнее исправление: fernandos 05.09.21 16:11:07 MSK (всего исправлений: 1)

Ссылка

Ыыы, шпионят за честными линуксоидами злые корпорасты, что делать? Что делать?? А может быть просто расслабить булки? Все равно не хотят багрепорты слать, пусть хоть так помогают падучей плазме.

Unicode4all ★★★★★
(05.09.21 16:36:13 MSK)

Ссылка

Не нашёл у себя /home/user/telemetry. Gentoo.

$ qlist -ICv | grep plasma-desktop
kde-plasma/plasma-desktop-5.21.5-r1

У кого есть?

Kroz ★★★★★
(05.09.21 17:23:06 MSK)

Ответ на: комментарий от Kroz 05.09.21 17:23:06 MSK

Рач, тоже нет. Может, нужна ванильная плазма, а не с патчами от дистрибутива? Или какой-то конкретный пакет надо ставить.

InterVi ★★★★★
(05.09.21 17:29:18 MSK)

Ссылка

Ответ на: комментарий от Kroz 05.09.21 17:23:06 MSK

Debian bullseye, нет. Вроде, я запускал KDE несколько раз в этом году (правда, кроме использования плазмы, приложений, напрямую зависящих от libkuserfeedbackcore1, мог не запускать). Пакет kuserfeedback-bin не устанавливал; от него сейчас не зависит ни один пакет.

~~AVRS~~ ★★
(05.09.21 17:34:23 MSK) автор топика
Последнее исправление: AVRS 05.09.21 17:39:47 MSK (всего исправлений: 4)

Ссылка

Однако сторонние приложения, использующие KUserFeedback или имеющие доступ к каталогу с данными, могут не соблюдать эту политику.

А что мешает стороннему приложению не соблюдающему эту политику самому собрать статистику и отослать ее куда угодно? С готовой собранной чуть проще, но на сколько? Вряд ли там собираются логи всех нажатий клавиш и ежесекундные скриншоты рабочего стола.

Behem0th ★★★★★
(05.09.21 17:39:25 MSK)

Ссылка

Ответ на: комментарий от Kroz 05.09.21 17:23:06 MSK

Почитал репорт, мы не там ищем. Надо смотреть:

/home/user/.config/KDE
/home/user/.config/kde.org

Нашёл там данные телеметрии, но в них ничего интересного. Например, содержание UserFeedback.org.kde.dolphin.conf:

[Source-applicationVersion]
dataSourceCommonSettings\activeState=true

[Source-locale]
dataSourceCommonSettings\activeState=true

[Source-places]
dataSourceCommonSettings\activeState=true

[Source-platform]
dataSourceCommonSettings\activeState=true

[Source-qtVersion]
dataSourceCommonSettings\activeState=true

[Source-screens]
dataSourceCommonSettings\activeState=true

[Source-settings]
dataSourceCommonSettings\activeState=true

[Source-startCount]
dataSourceCommonSettings\activeState=true

[Source-usageTime]
dataSourceCommonSettings\activeState=true

[UserFeedback]
ApplicationStartCount=434
ApplicationTime=4556285

InterVi ★★★★★
(05.09.21 17:41:50 MSK)

Ответ на: комментарий от InterVi 05.09.21 17:41:50 MSK

Спасибо. Я подозревал, что где-то подвох.

У меня есть только kde.org и там вот это:

$ ls -1 ~/.config/kde.org/
kdeconnect.app.conf
plasmashell.conf

Kroz ★★★★★
(05.09.21 17:48:51 MSK)

kde - это опенсорсная, то есть правильная телеметрия)

~~crypt~~ ★★★★★
(05.09.21 17:53:48 MSK)

Ссылка

Ответ на: комментарий от Kroz 05.09.21 17:48:51 MSK

А у меня там есть UserFeedback.org.kde.plasmashell.conf, в котором включено ApplicationStartCount=1. Больше ничего интересного. В каталогах в ~/.cache — qmlcache с чем-то для Qt.

~~AVRS~~ ★★
(05.09.21 17:59:22 MSK) автор топика

Ссылка

По наличию файлов можно определить, что собирает телеметрию и посмотреть настройки. KUserFeedback это ещё и сервер, так что данные утекают разработчикам, а не всяким гуглам.

Всё нормально, лучше уж так. Кому надо, те всё равно внедрят свою собственную телеметрию, как Audacity. Выпиливанием фреймворка это не решается, за чистотой софта должны следить мейнтейнеры.

InterVi ★★★★★
(05.09.21 18:03:43 MSK)

Ссылка

Какой ужас, какой кошмар, все срочно на Artix+Xfce+S6! Дадим бой анальным зондофилам!

А если без шуток, то вот вам тема с форума wilderssecurity.com: https://www.wilderssecurity.com/threads/telemetry-in-linux-distros.439353/

KUserFeedback can’t be enabled remotly until you accept it (means you’re root password).

Так что пока сам не включишь, ничего страшного оно не сделает. Главное – следить за сторонними приложениями, они могут и повонять.

~~Korchevatel~~ ★★★★★
(05.09.21 18:24:34 MSK)
Последнее исправление: Korchevatel 05.09.21 18:27:30 MSK (всего исправлений: 1)

неизвестно, что́, куда и для чего они отправляют

Иходный код открыт

xDShot ★★★★★
(05.09.21 18:32:53 MSK)

Ссылка

Ответ на: комментарий от Korchevatel 05.09.21 18:24:34 MSK

Так что пока сам не включишь, ничего страшного оно не сделает

Ну обычно это так и начинается, сначала только с разрешения пользователя, затем по-умолчанию подразумевается, что пользователь согласен с телеметрией, а заканчивается тем, что пользователь ничего не может отключить и превращается в безвольного пассажира и объект для анализа.

Chord ★★★★
(05.09.21 19:50:11 MSK)
Последнее исправление: Chord 05.09.21 19:51:36 MSK (всего исправлений: 1)

Ссылка

Нажми «Параметры системы» -> «Обратная связь» и выбери «Disabled». У меня ванильный рачик и это по умолчанию.

Как я не завидую тем, кто агитировал за Manjaro! Оказывается, там при любом DE вшит шпионский движок! Вот где настоящая беда.

fehhner ★★★★★
(06.09.21 21:20:13 MSK)

Ответ на: комментарий от fehhner 06.09.21 21:20:13 MSK

Я всегда говорил что Бомжара - г.

А теперь еще этот зашквар …

windows10 ★★★★★
(07.09.21 01:17:15 MSK)

Ссылка

хайпожоры неграмотные, вся эта прайваси бай дизайн заканчивается с вашим первым пакетом в интернеты

kott ★★★★★
(07.09.21 01:39:04 MSK)

Ответ на: комментарий от kott 07.09.21 01:39:04 MSK

хайпожоры неграмотные, вся эта прайваси бай дизайн заканчивается с вашим первым пакетом в интернеты

Тиха ты, а то что станет с «дистрибутивами заточенными на безопасность» ?)

windows10 ★★★★★
(07.09.21 02:09:28 MSK)

Ссылка

Ответ на: комментарий от fehhner 06.09.21 21:20:13 MSK

Оказывается, там при любом DE вшит шпионский движок!

Мы для своих целей ничего не собираем.

Автору статьи не понравилось, что нельзя удалить КДЕшную телеметрию, так как от нее зависит много кдешных пакетов. https://www.summertime.tech/dtw/dtw%2002-Manjaro.pdf

Но здесь мы ничем не отличаемся от арча, эти пакеты тянутся напрямую оттуда.

LordTermor ★★
(08.09.21 07:36:46 MSK)

Ответ на: комментарий от LordTermor 08.09.21 07:36:46 MSK

Просто указали так:

Installation has sophisticated non deleteable non stoppable «spy on user» engine. Either built-in (Red) or in Repo (Grey). {#2} Manjaro KDE ; Manjaro GNOME ; Xfce

Но в арчевом КДЕ у меня стоит просто «Disabled» в «Параметры системы» -> «Обратная связь» и всё отключено.
А там написано про «сложный, неотключаемый движок для шпионской слежки за пользователем». При этом в дебиановской плазме его нет.
У меня есть на малине установка плазмы на минимальный образ (Raspbian). Там пакетов даже больше притянулось, чем на арче. Разницы в этом функционале я не заметил.
В классификации summertime.tech при этом, движок указан только для манжаро, а для дебиана - нет. Поэтому я и пришёл к выводу (по их классификации), что в Манжаре впилили неудаляемый движок, которого нет в дебиане и арче.

fehhner ★★★★★
(08.09.21 11:55:18 MSK)

Ответ на: комментарий от fehhner 08.09.21 11:55:18 MSK

Да я вообще логику повествования не особо понял.

В его работе конкретно про Manjaro он просто проверил, установлен ли или доступен в репозиториях KUserFeedback и на основании этого сделал выводы. Подозреваю в других дистрах тоже. WTF вообще?

Оно тоже выключено по дефолту, тут мы никаких изменений специально со своей стороны тоже не делали.

Возможно ему не нравится, что KUserFeedback это жесткая зависимость некоторых пакетов KDE, это наверное в теории можно исправить, но опять же конкретно эти пакеты идут напрямую из Arch.

LordTermor ★★
(08.09.21 14:17:23 MSK)

Телеметрия в KDE собирает данные, даже если выключена?

Я стал ожидать подобное в тот момент когда узнал что Габен решил сотрудничать с KDE, ну не мог комерсант признать своим партнёром коллектив или фирму без каких либо тёмных проявлений.

torvn77 ★★★★★
(09.09.21 02:43:12 MSK)
Последнее исправление: torvn77 09.09.21 02:47:41 MSK (всего исправлений: 2)

Уговорили, если придётся менять gentoo, поставлю debian.

novus ★★
(09.09.21 07:06:52 MSK)

Ссылка

Ответ на: комментарий от Korchevatel 05.09.21 18:24:34 MSK

KUserFeedback can’t be enabled remotly until you accept it (means you’re root password).

Это, во-первых, ~~высер~~мнение какого-то анона, во-вторых — я вот не помню, чтоб с чем-то соглашался при обновлении до bullseye, a UserFeedback.org.* наличествуют.

alegz ★★★★
(09.09.21 07:33:26 MSK)

Ссылка

Ответ на: комментарий от torvn77 09.09.21 02:43:12 MSK

Я бы на твоём месте не гордился ассоциативным мышлением.

t184256 ★★★★★
(09.09.21 08:47:46 MSK)

Ссылка

Ответ на: комментарий от LordTermor 08.09.21 14:17:23 MSK

Забыл отписать. Я в итоге сделал yay -Rdd kuserfeedback и живу спокойно.

fehhner ★★★★★
(20.09.21 18:26:45 MSK)

Ссылка

ты можешь скачать сорцы этой библиотеки KUserFeedback с просто вычистить из нее всю функциональность по отправке данных, оставив пустые функции загрушки.

~~bhfq~~ ★★★★★
(20.09.21 18:59:29 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	онлайн оплата на ozon.ru

Talks

NVIDIA подтвердила, что пилит поддержку GBM для совего проприетарного драйвера

→

Похожие темы