Vlákno názorů k článku
Fedora 40 zvažuje telemetrii, která bude dodržovat soukromí od bez prezdivky ... - Zadna telemetrie dodrzujici soukromi neexistuje a nelze ji...

Ale i tak tam může být spousta údajů, které uživatele celkem jednoznačně identifikují

Identifikace je zjištění totožnosti. To, že je daná kombinace hardwaru a nainstalovaných balíčků unikátní, ještě neznamená, že podle toho zjistíte totožnost uživatele. Docela by mě zajímalo, jakým způsobem byste jen na základě dat, které to má sbírat, jednoznačně někoho identifikoval.

Jak to bude rozpoznávat jestli už "tento" stroj telemetrii poslal nebo nikoliv? Aby v databázi nebyl telemetry report z jednoho stroje 100x a opakované zasílání telemetrie nezkreslovalo výsledky?

Většinou se to řeší nějakým unikátním identifikátorem...

Fedora už počítá unikátní instalace, aniž by používala unikátní identifikátory. Prostě jednou týdně se přidá informace do requestu na mirror.fedora­project.org. S tímto řešením holt musíte věřit, že se jedná o unikátní hlášení. Systémy jsou nastavené tak, aby to unikátní hlášení byly a myslím, že nikdo nemá moc motivaci to nějak obcházet.

Idealni by by bylo kdyby se dalo presne definovat co chci posilat a jeste se dalo do systemu na tvrdo nastavit co nikdy, ani kdyby cert na koze jezdil, posilat nechci nebo chci nejaka data anonymizovat.

Uvedu trivialni priklad. Vyvijite / uzivate zarizeni ktere je pomerne malo uzivane ale uz ma pridelene sve ID a v reportu se ukaze. Ma k nemu pristup nebo ho vyviji pomerne omezeny okruh lidi. Profiltrovanim dalsi konfigurace uz jste schopen dohledat cloveka nebo velmi zuzit okruh jen na par lidi.

Celou vec vidim i z druhe strany. Kdyz se zeptam produktoveho vyvoje na cem vlastne ten hnuj ( nase spatne navrzena neskalovatelna aplikace ) bezi, nikdo poradne neodpovi ani ramcove. Support / PO maji data 8 let stara a jen ze to zakos nekde dobrovolne uvedl.
To same kdyz jistemu buildu umiraji sitovky a nikdo nevi co to je za znacku a jaky maji fw.

10. 7. 2023, 11:10 editováno autorem komentáře

tak IP tam prave byt nemusi. Zrovna my ji anonymizujeme uz na strane uzivatelu, protoze az tak nikoho netrapi ji NEmit k dispozici. A opet - jde to udelat zcela transparentne, aby uzivatel videl, co presne se posila.

A jak se to k vám dostane bez IP? Vážně by mě to zajímalo, protože mě teď nenapadá způsob, jak to udělat.

Tak může to komunikovat přes TOR.

Jinak zrovna IP nebude tak zajímavá, jako nějaký opaque identifikátor generovaný při instalaci, protože nat.

Bude protože geolokaci kterou to mimochodem děla při každém bootu v EndlessOS

Ale kombinace identifikátorů a IP je sakra zajímavá.

A jak se ke me dostala tvoje zprava i presto, ze z ni IP nezjistim? To je jeden ze zpusobu, dalsi je, ze docela hodne pocitacu posilajicich telemetrii muze byt disconnected od internetu. A dalsi - na co je ti IP kdyz se s kazdym posunem pocitace presunu na jinou Wifinu? (treba vcera u me 3x - moje Wifi, na konci zahrady pouzivam nejakou volnou kdovi od jakeho souseda :), potom na androidim hotspotu).

Tohle přesně ukázka totálního nepochopení. Jsi snad správce root.cz? On totiž ten co ty data sbírá má pod kontrolou i ten server kam se to odesílá.
To, že se IP mění podle toho kde se člověk připojí je právě ještě horší, protože podle toho může zjistit kde zrovna je, když se spolu s daty posílá ještě unikátní identifikátor.

jj mám pocit, že se nechápeme, tak to zkusím rozepsat na dva "use case"

1) my jakožto zajišťovatelé podpory zákazníkům sbíráme jen nezbytná data. Ta zákazníci mohou vidět, je to z důvodu proaktivního supportu (ideálně tak, aby se chyba identifikovala ještě než nás zákazník zkontaktuje - to mají rádi všichni, jak zákoš, tak support) a samozřejmě je to opt-in. Z tohoto pohledu (a z toho co jsem psal výše) nás třeba IP absolutně nezajímá, takže se striktně (a nepřesně!) anonymizuje už na straně zákazníka.

2) ale určitě existují i "špatní sběratelé telemetrie", kteří s tím chtějí zákazníka sledovat pro nějaké nekalé účely. Tady samozřejmě závisí od toho, komu důvěřuješ a komu ne*, jak je telemetrie nasazena, jak je transparentní, jak se dá zapnout/vypnout a co vůbec zákazníkovi přináší, když si ji zapne.

* je to zajímavé, ale ve státech si firmy více důvěřují (až mě to někdy dost děsí); tady se buď nedůvěřuje by default nikomu nebo naopak úplně všem

Tak ještě jednou, jak se ta IP anonymizuje na straně klienta? Protože to je podle mě totální blábol. Jedině že by ty data někdo posílal třeba přes Českou poštu. Nějak se ty data k vám dostat musí a dost pochybuji, po tvých komentářích, že to není přes IP.

To, že vás nyní IP nezajímá vůbec neznamená, že v budoucnu bude, protože přijde nějaký manager co dostane nápad ty data dále prodavat.

Po zkušenostech s Avastem opravdu nikomu nevěřím a hlavně komerční firmě.

Zalezi mozna na uhlu pohledu. Kdyz si rekli ze je ip nezajima a nechteji ji, neposilaji si ji v datech. Zdrojove ip se pak muzou zbavit treba nejakou "proxy/vpn", kde se proste rozhodli, ze to nebudou logovat a pristup tam nema jen tak nekdo. Pak ty data nemaj. Vy jim to samozrejme verit nemusite.

Ale nikdo vůbec netvrdí, že si ji neposílají v telemetrických datech, ale nějak se k nim ty data musí dostat a v tom příchozím spojení ta IP určitě je. Příjemce nemá jak ovlivnit, že tam ta IP adresa není a kdykoliv se může rozhodnout, že si jí spolu s daty uloží. Můžeš klientům poskytnout VPN/příze, ale zase tam je ta IP adresa, kterou si můžeš logovat.
Ne opravdu jim to nevěřím, protože mě napadá jediný způsob, jak při odesílání telemetrie nemít tu IP adresu. Opravdu nejsem tak padlí na hlavu abych uvěřil, že jí anonymizují na straně klienta a když mi někdo něco takového tvrdí, tak bych mu opravdu žádná telemetrická data neposílal.

"Opravdu nejsem tak padlí na hlavu abych uvěřil, že jí anonymizují na straně klienta" - nemas verit, muzes overit. Ta posilana data jsou transparentni. Ne kazda firma posila opaque bloby bez popisu.

Ok posílám packet a jé ona je tam IP adresa tak nic. Takže jsem si ověřil, že se tam IP adresa posílá.

Ta proxy je na strane klienta, takze nam v tomto verit nemusi.

Tak 1. to neděláte vy ale klient sám 2. tam máte stále IP té proxy. Takže podle nějaké identifikátoru dokážete říct, že je to stroj od tohohle klienta.

Proste ve vsech vysbiranych datech se IP anonymizuje. Je to napsano dost nestastne regexpem, ale staci (spis to "sezere" nekdy i nejakou vec, co neni IP, tedy aspon teoreticky). Porad si nejak nerozumime, tak jeste jednou - JAK se data poslou (a pres jakou IP) neni relevantni, protoze spousta tech stroju je proste disconnected od Internetu, takze se to preposila pres takove chytrejsi jakoby proxy/agregatory. V tech datech zadna IP neni a ze to pristlo z 123.234.0.1 vubec nic nerika o tom stroji (ten se pochopitelne podepisuje jinak, takze MAME unikatni identifikator, jinak nema smysl nic posilat ;)

Hele never, to je naprosto v pohode a chapu to (jako skutecne chapu, akorat ve statech si firmy veri vic, proto cely nas IT sektor vlastne jeste funguje). Takze predpokladam, ze BIOS a drivery ke vsemu mate nekomercni a tak...

Proste ve vsech vysbiranych datech se IP anonymizuje.
Díky za potvrzení, že tu IP máte a nic vám nebrání to v budoucnu změnit tak, že se IP nebude anonymizovat.

Když ale máte IP té proxy, tak můžete poznat, že ten stroj patří do téhle skupiny, protože máte IP a unikátní identifikátor a podle té IP ty stroje zgroupovat. Pak vám stačí vědět, že jeden ten identifikátor pochází od jedné firmy a rázem víte, že všechny ty stroje v té skupině patří téhle firmě. Netvrdím, že to je nějaký obrovský bezpečnostní problém ale taky bych netvrdil, že se taková data pak nedají zneužít. Například můžete té firmě nabídnout nějaký produkt např. když používají MongoDB tak jim zkusíte nabídnout support na to MongoDB nebo MongoDB Atlas. Tohle lze krásně zpeněžit.

Já s tím nemám vůbec problém a ani pro mě není problém, že tam ta IP je. A ani nejsem nějaký fanatik, že bych chtěl všechno anonymizovat atp. Problém ale mám, když mi někdo tvrdí, že IP anymizuje na straně klienta, když to evidentně není pravda.

Anonymizuji se vsechny IP a vidi to i zakaznik. Ostatne zrovna k tomuto ma i zdrojaky, kdyby neveril, co mu bezi po siti :)

Já jsem ti dal důkaz, že se na straně klienta ta IP adresa neanonymizuje. Nastiň alespoň jak to děláte, že přijímáte data, kde ta IP adresa není v protokolu.

to samozrejme je pravda, to je to prave misto. Chapeme se v tom, co znamena anonymizovat IPcka? Myslim ze moc ne.

Spíš nechápeš o co mi celou dobu jde a proč to píšu. Neanonymizujete IP adresu na straně klienta. Sám jsi to tady i potvrdil (to, že klient používá svojí proxy nebo VPN rozhodně není vaše anonymizace na straně klienta). Klidně jí můžete anonymozovat na straně serveru (to ti věřím a určitě to děláte), ale to je opravdu jedno, protože na straně serveru to klidně můžete kdykoliv změnit. Vůbec nejde o to co vám někdo posílá v datech ale o protokol, kde ta IP adresa odesílatele je už z podstaty protokolu. Takže to, že to IP adresu neposíláte přímo v telemetrických datech neznamená, že na serveru ta IP adresa odesílatele, díky přenosovému protokolu, není.

" Problém ale mám, když mi někdo tvrdí, že IP anymizuje na straně klienta, když to evidentně není pravda"

to samozrejme je pravda, to je to prave misto. Chapeme se v tom, co znamena anonymizovat IPcka? Myslim ze moc ne.

To je samozrejme cista lez, a kazdej kdo alespon tusi jak sitovani funguje to vi. A uz to, ze tu casto i zamestnanci lzou, jasne indikuje, ze se bude sbirat mnohem vic dat nez se prizna.