开源编辑器 Atom 未经同意收集用户数据
Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给 Atom 提 issue 称其未经同意收集用户数据。
“首次启动 Atom 时,它会在未经同意的情况下联系在 Amazon 服务器上运行的 Microsoft/GitHub 进程,并将我的 IP 地址和时间戳泄露给制造商,把我使用 Atom 的事实(通过出站请求)传输给成千上万的其他人和组织。”
这位名为 Jeffrey Paul 的用户表示是在首次启动 Atom 时遇到了该问题。他发现在自己的信息已经被收集并发送出去之后,主应用程序窗口才打开是否连接服务器的询问对话框。而这一问题 100% 能够复现,也就是说并非偶然事故。
Paul 指出,用户的 IP 地址以及跟踪/遥测/分析/自动更新目标主机 IP 等信息都在首次启动时被传输出去,前两个数据中还包括时间戳。“该元组(用户源 IP,atom.io 目标 ip,TCP 端口,TLS SNI 主机名,时间戳记)从用户计算机发送时,其使用情况信息就会泄漏给成千上万的不同人:ISP,托管提供商,网络交换,情报服务者,Microsoft 内部系统管理员,GitHub 系统管理员和 Amazon 网络管理员。用户根本没有机会选择退出,或是阻止它,甚至没有意识到它的发生。”
为此,Paul 感到气愤,并依照“间谍软件”的定义——间谍软件是一种软件,有时甚至在其不知情的情况下收集有关个人或组织的信息,并在未经用户同意的情况下将此类信息发送给另一个实体——将 Atom 归为间谍软件。
他还提到,这种情况的出现意味着 PR #12281 上的工作尚未完成。这是 2016 年 Atom 团队提出的“添加遥测同意设置”,该设置用于确定是否收集用户的使用信息。而目前,根据 Paul 的描述,甚至没有出现同意对话框,数据就已经被上传了。
Atom 团队的 Arcanemagus 随后在下方回复,表示“Atom 设计为在连接网络的环境中运行,可以执行诸如检查更新之类的操作而不会提示用户……您当然可以自由地阻止网络访问,并且如果您愿意,Atom 也可以在脱机模式下运行。”
但显然,这一说法不够有说服力,Paul 提出反击:“没有人说它不应该使用网络,它只是在用户授予其权限之前不应该使用网络,否则会造成数据泄漏,这就是同意对话框存在的意义。”
Arcanemagus 仍然认为阻止网络访问即可,还说,“这不是 Atom 团队当前有兴趣更改的东西”。
来自 Atom 团队的 Lee Dohm 发表了最终回应,承认遥测程序包不应该在单击按钮之前发送信息,并将调查它与 central.github.com 的过早连接。但另一方面,他坚持 Atom 的设计模式如此,剩下的部分,特别是自动更新检查,仍保留当前的设计方式。以及,再次表明,“如果您想要一个可以完全脱机工作且没有任何网络连接的编辑器,则 Atom 不适合您。”
此外,经过复现实验,Paul 还提出了另一个 issue,他发现即便明确拒绝同意并退出遥测,遥测信息还是会被发送。这一情况的复现率也为 100%。
在 2016 年那条添加遥测同意设置的 PR 下,又有网友展开了新的讨论。其中一名用户说道,“按目前的情况,这可能违反了 GDPR(General Data Protection Regulation,一般数据保护条例)。”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
每日一博 | 解读 TechEmpower 框架性能测试数据
1. TechEmpower Framework Benchmark 介绍 TechEmpower 框架性能大比拼平台从 2013 年 3 月开始以来已经历经了 18 轮测试,参与这个平台的框架平台产品也从一开始的 24 种增加到今天的 659 种! 可以说这个平台已经是业界的标准性能测试平台,在 Web 框架性能测试领域的地位大概能和 PassMark 在 CPU 性能测试领域的地位相当. TechEmpower 自身提供的棒图直观地呈现框架的 Throughput (吞吐量, 即每秒处理请求数): 而 TechEmpower 在测试过程中还收集了其他类型的数据,包括: Latency (时延 - 从发起请求到收到响应的平均时间) Memory (内存占用) CPU (CPU 占用百分比) 2. TFB VIS 可视化网站 最近出现了一个新网站提供了另外几个数据的可视化呈现: https://ajdust.github.io/tfbvis/ 这个网站打开是这样的: 默认排序是吞吐量,但可以通过点击列标题下面的空白部位切换排序列,比如点击红色箭头指向部位按照时延排序: 可以选择不同的 ...
- 下一篇
保护企业免受网络攻击简单的方法
互联网在完成各种任务(如销售网上商品,转移资金)方面的重要作用值得考虑。由于其在加强各类业务运营方面的主要作用,网络犯罪分子已开始将其用于黑客目的。 一份报告声称,2016年,由于网络犯罪,英国有近300万家企业受到影响,其成本约为291亿英镑。这引发了全球各组织之间的紧张关系,他们寻找可以保护其资产的潜在网络安全解决方案。 因此,他们招募网络安全专家或掌握网络安全培训,以获得实际的提示和技巧对抗攻击。本文涵盖的安全措施,可以由任何类型的企业选择,无论域名,规模和政策如何。 增强内部数据安全措施 改进内部安全程序有助于保护企业免受网络攻击。更改密码策略!这包括在定期重置密码时使用强大且唯一的密码。 Thales e-Security和分析公司451的2017年数据威胁报告显示,约有52%的商家面临数据泄露。数据泄露事件增加的原因是,企业仍然使用过去已经显示结果的安全解决方案,但现代数据泄露已经过时。 报告称,如今,企业领导者正在大力投资网络安全措施,而没有为他们分配适当的预算。 该报告还提到,95%的企业在云,物联网等高度受保护的环境中使用敏感数据,并且在缺乏安全协议的渠道中使用相同的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- Hadoop3单机部署,实现最简伪集群
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度