कई दिनों पहले खबर जारी की गई थी कि रास्पबेरी ओएस में हाल ही में अपडेट के हिस्से के रूप में, रास्पबेरी पाई फाउंडेशन ने एक Microsoft भंडार स्थापित किया सभी एकल बोर्ड कंप्यूटरों पर जिन्होंने अपने मालिकों के ज्ञान के बिना, इस पर भरोसा किया।
युद्धाभ्यास समुदाय के भीतर किसी का ध्यान नहीं गया लिनक्स की जो पारदर्शिता और टेलीमेट्री और रास्पबेरी पाई बोर्डों के उपयोगकर्ताओं की कमी का विरोध करने के लिए आगे बढ़ रही है Microsoft रिपॉजिटरी में एक कॉल सहित चर्चा कर रहे हैं रास्पबेरी पाई ओएस पर, विश्वसनीय पैकेज इंस्टॉलेशन के लिए Microsoft GPG कुंजी के अलावा।
Microsoft रिपॉजिटरी को raspberrypi-sys-mods पैकेज द्वारा जोड़ा जाता है, जिसमें ऑपरेटिंग सिस्टम-विशिष्ट स्क्रिप्ट और सेटिंग्स शामिल हैं।
/Etc/apt/source.list.d के कॉन्फ़िगरेशन को पोस्ट-इंस्टेंस स्क्रिप्ट द्वारा संशोधित किया गया है और VSCode विकास वातावरण को कॉन्फ़िगर करने के लिए उपयोग किया जाता है। मुख्य दावे इस तथ्य से संबंधित हैं कि Microsoft रिपॉजिटरी और कुंजी को उपयोगकर्ताओं को चेतावनी दिए बिना जोड़ा गया था।
Microsoft apt रिपॉजिटरी को जोड़ने के पीछे का विचार विज़ुअल स्टूडियो कोड विकास पर्यावरण का उपयोग करना आसान बनाना है।
यह आधिकारिक रूप से है क्योंकि वे Microsoft के IDE (!) का समर्थन करते हैं, लेकिन आप इसे तब भी प्राप्त करेंगे जब आप इसे एक स्पष्ट छवि से स्थापित करते हैं और बिना GUI के बिना अपने Pi का उपयोग करते हैं। इसका मतलब है कि हर बार जब आप अपने पाई पर "एप्ट अपडेट" करते हैं, तो आप एक Microsoft सर्वर को पिंग कर रहे हैं।
वे Microsoft GPG कुंजी भी स्थापित करते हैं जिसका उपयोग उस रिपॉजिटरी से पैकेज पर हस्ताक्षर करने के लिए किया जाता है। यह संभावित रूप से एक परिदृश्य को जन्म दे सकता है जहां एक अद्यतन Microsoft रिपॉजिटरी से एक निर्भरता खींचता है और सिस्टम स्वचालित रूप से उस पैकेज पर भरोसा करेगा।
रिपॉजिटरी इंस्टॉलेशन चुपचाप किया जाता है, उपयोगकर्ता की सहमति के बिना, और रास्पबेरी फाउंडेशन ने समर्पित ब्लॉग पोस्ट के माध्यम से उपयोगकर्ताओं को इस तरह के बदलाव के लिए तैयार नहीं किया।
उद्घोषित उपयोगकर्ता टिप्पणी करते हैं कि ईयह व्यवहार दो कारणों से खतरनाक है:
सबसे पहले, जब भी रिपॉजिटरी की जानकारी पैकेज को अपडेट या अपडेट करते समय अपडेट की जाती है, तो पैकेज मैनेजर सभी कनेक्टेड रिपॉजिटरी, यानी ई।Microsoft सर्वर सभी उपयोगकर्ताओं के आईपी पते के बारे में जानकारी जमा करता है रास्पबेरी पाई ऑपरेटिंग सिस्टम, जिसका उपयोग उपयोगकर्ता प्रोफ़ाइल बनाने के लिए किया जा सकता है।
एक समान प्रोफ़ाइल का उपयोग किया जा सकता है, उदाहरण के लिए, एक ही आईपी से Microsoft सेवाओं में प्रवेश करते समय लक्षित विज्ञापन के लिए।
दूसरा, Microsoft रिपॉजिटरी पूरी तरह से भरोसेमंद के रूप में जुड़ा हुआ हैइस तथ्य के बावजूद कि यह रास्पबेरी पाई ऑपरेटिंग सिस्टम डेवलपर्स के नियंत्रण में नहीं है और उपयोगकर्ताओं को Microsoft GPG कुंजी जोड़ने के लिए पुष्टि के लिए नहीं कहा गया था। यदि इस तरह के भंडार के माध्यम से Microsoft के बुनियादी ढांचे से समझौता किया जाता है, तो मानक पैकेजों को बदलने या निर्भरताओं को बदलने के लिए फर्जी अपडेट वितरित किए जा सकते हैं।
वह यहां तक कह देता है कि
यह वह तरीका है जो आप हर समय "समान समस्याओं के लिए" एकल बोर्ड कंप्यूटरों के अपने लाइन के मालिकों को सूचित किए बिना करते हैं। »उपयोगकर्ताओं ने टेलीमेट्री पर लिनक्स और माइक्रोसॉफ्ट के बीच तनाव को याद किया है।
अंत में, यह ध्यान दिया जाता है कि समुदाय द्वारा समर्थित रास्पियन वितरण समस्या से प्रभावित नहीं होता है, परिवर्तन केवल रास्पबेरी पाई ओएस में जोड़ा जाता है, रास्पबेरी पाई फाउंडेशन द्वारा बनाए गए रास्पियन का एक प्रकार है।
यदि आप रास्पबेरी पाई ओएस का उपयोग जारी रखना चाहते हैं, तो एक और दृष्टिकोण विजुअल स्टूडियो कोड को ब्लॉक करना है। विजुअल स्टूडियो कोड टेलीमेट्री विकल्पों से लैस है, इसलिए कई उपयोगकर्ता विजुअल स्टूडियो कोडियम को अधिक उपयुक्त मानते हैं।
रास्पबेरी पाई ऑपरेटिंग सिस्टम में Microsoft सर्वर तक पहुंच को समाप्त करने के लिए, बस /etc/apt/source.list.d/vscode.list फ़ाइल की सामग्री पर टिप्पणी करें और / etc / apt / विश्वसनीय कुंजी को हटाएं। gpg.d / microsoft .gpg
इसके अलावा, अनुरोधों को अवरुद्ध करने के लिए "127.0.0.1 package.microsoft.com" को / etc / मेजबानों में जोड़ा जा सकता है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप परामर्श कर सकते हैं निम्नलिखित लिंक।