币啰编程网

 找回密码
 注册(Register)

QQ登录

只需一步,快速开始

查看: 811|回复: 238

[业内新闻] 在GitHub开源的Atom编辑器被曝未经同意收集用户数据

  [复制链接]

签到天数: 263 天

[LV.8]以坛为家I

发表于 2019-11-28 15:57:05 | 显示全部楼层 |阅读模式
Atom是GitHub专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给Atom提 issue 称其未经同意收集用户数据。

“首次启动Atom时,它会在未经同意的情况下联系在Amazon服务器上运行的Microsoft/GitHub进程,并将我的IP地址和时间戳泄露给制造商,把我使用Atom的事实(通过出站请求)传输给成千上万的其他人和组织。”

这位名为 Jeffrey Paul 的用户表示是在首次启动 Atom时遇到了该问题。他发现在自己的信息已经被收集并发送出去之后,主应用程序窗口才打开是否连接服务器的询问对话框。而这一问题100%能够复现,也就是说并非偶然事故。
083623ba6j7hhusm6u56uc.jpg.thumb.jpg
Paul指出,用户的IP地址以及跟踪/遥测/分析/自动更新目标主机IP等信息都在首次启动时被传输出去,前两个数据中还包括时间戳。“该元组(用户源IP,atom.io目标ip,TCP端口,TLS SNI主机名,时间戳记)从用户计算机发送时,其使用情况信息就会泄漏给成千上万的不同人:ISP,托管提供商,网络交换,情报服务者,Microsoft内部系统管理员,GitHub系统管理员和Amazon网络管理员。用户根本没有机会选择退出,或是阻止它,甚至没有意识到它的发生。”

为此,Paul感到气愤,并依照“间谍软件”的定义——间谍软件是一种软件,有时甚至在其不知情的情况下收集有关个人或组织的信息,并在未经用户同意的情况下将此类信息发送给另一个实体——将Atom归为间谍软件。
083644vrxun4zsi69qil9s.jpg.thumb.jpg
他还提到,这种情况的出现意味着PR #12281 上的工作尚未完成。这是2016年Atom团队提出的“添加遥测同意设置”,该设置用于确定是否收集用户的使用信息。而目前,根据Paul的描述,甚至没有出现同意对话框,数据就已经被上传了。

Atom团队的Arcanemagus 随后在下方回复,表示“Atom设计为在连接网络的环境中运行,可以执行诸如检查更新之类的操作而不会提示用户……您当然可以自由地阻止网络访问,并且如果您愿意,Atom也可以在脱机模式下运行。”

但显然,这一说法不够有说服力,Paul提出反击:“没有人说它不应该使用网络,它只是在用户授予其权限之前不应该使用网络,否则会造成数据泄漏,这就是同意对话框存在的意义。”

Arcanemagus仍然认为阻止网络访问即可,还说,“这不是Atom团队当前有兴趣更改的东西”。

来自Atom团队的 Lee Dohm 发表了最终回应,承认遥测程序包不应该在单击按钮之前发送信息,并将调查它与central.github.com的过早连接。但另一方面,他坚持Atom的设计模式如此,剩下的部分,特别是自动更新检查,仍保留当前的设计方式。以及,再次表明,“如果您想要一个可以完全脱机工作且没有任何网络连接的编辑器,则Atom不适合您。”
此外,经过复现实验,Paul还提出了另一个 issue,他发现即便明确拒绝同意并退出遥测,遥测信息还是会被发送。这一情况的复现率也为100%。

在2016年那条添加遥测同意设置的PR下,又有网友展开了新的讨论。其中一名用户说道,“按目前的情况,这可能违反了GDPR(General Data Protection Regulation,一般数据保护条例)。





上一篇:C语言概论基础,用文章的形式教你从零开始学 C语言
下一篇:科普知识HTTP状态码(HTTP Status Code)一些常见的状态码科普解释
分享到:

签到天数: 10 天

[LV.3]偶尔看看II

发表于 2019-11-28 15:57:06 | 显示全部楼层
很经典,收藏了!
回复

使用道具 举报

签到天数: 17 天

[LV.4]偶尔看看III

发表于 2019-11-28 15:58:19 | 显示全部楼层
这个应该怎么用?
回复

使用道具 举报

签到天数: 12 天

[LV.3]偶尔看看II

发表于 2019-11-28 16:07:23 | 显示全部楼层
无图无真相!
回复

使用道具 举报

签到天数: 7 天

[LV.3]偶尔看看II

发表于 2019-11-28 16:14:24 | 显示全部楼层
前来学习一下 ,膜拜大佬
回复

使用道具 举报

签到天数: 8 天

[LV.3]偶尔看看II

发表于 2019-11-28 23:20:10 | 显示全部楼层
币啰网站的,webq前端的教程挺不错的。值得学习
回复

使用道具 举报

签到天数: 9 天

[LV.3]偶尔看看II

发表于 2019-11-30 12:00:42 | 显示全部楼层
不看帖子不知道,一看帖子吓一跳系列
回复

使用道具 举报

签到天数: 15 天

[LV.4]偶尔看看III

发表于 2019-12-2 02:27:53 | 显示全部楼层
帮楼主顶一下贴
回复

使用道具 举报

签到天数: 9 天

[LV.3]偶尔看看II

发表于 2019-12-2 06:27:46 | 显示全部楼层
bbs.5blw.com这是我见过最好的编程开发者交流平台了
回复

使用道具 举报

签到天数: 9 天

[LV.3]偶尔看看II

发表于 2019-12-3 04:40:13 | 显示全部楼层
楼主主机很热情啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册(Register)

本版积分规则


НП互联网知识НП

微博

НП技术交流群НП

技术群

QQ手机版 禁言处罚 币啰编程网 蜀ICP备19036706号 Discuz! X3.4 Powered by © 2001-2013 Comsenz Inc. 

快速回复 快速发帖 返回顶部 返回列表