Pirms vairākām dienām tika izlaista ziņa, ka kā daļa no nesenā Raspberry OS atjauninājuma Raspberry Pi Foundation uzstādīja Microsoft krātuvi uz visiem viena dēļa datoriem, kas tam uzticējās, bez to īpašnieku ziņas.
Manevrs sabiedrībā nav palicis nepamanīts operētājsistēmas Linux, kas pastiprina pretestību pārredzamības un telemetrijas trūkumam un Raspberry Pi dēļu lietotājiem apspriež arī zvanu uz Microsoft repozitoriju par Raspberry Pi OS, kā arī Microsoft GPG atslēgas pievienošana uzticamai pakotnes instalēšanai.
Microsoft repozitoriju pievieno pakete raspberrypi-sys-mods, kas ietver operētājsistēmai raksturīgus skriptus un iestatījumus.
/Etc/apt/sources.list.d konfigurāciju maina post-inst skripts un tiek izmantots, lai konfigurētu VSCode izstrādes vidi. Galvenās pretenzijas ir saistītas ar to, ka Microsoft krātuve un atslēga tika pievienota, nebrīdinot lietotājus.
Microsoft apt repozitorija pievienošanas ideja ir atvieglot Visual Studio Code izstrādes vides izmantošanu.
Tas ir oficiāli tāpēc, ka viņi atbalsta Microsoft IDE (!), Bet jūs to iegūsit pat tad, ja to instalējāt no skaidra attēla un izmantojat savu Pi bez galvas bez GUI. Tas nozīmē, ka katru reizi, kad savā Pi veicat "apt atjauninājumu", jūs pingējat Microsoft serveri.
Viņi arī instalē Microsoft GPG atslēgu, kas tiek izmantota paku parakstīšanai no šī krātuves. Tas potenciāli var izraisīt scenāriju, kad atjauninājums izvelk atkarību no Microsoft repozitorija un sistēma automātiski uzticas šai pakotnei.
Repozitorija instalēšana tiek veikta klusi, bez lietotāja piekrišanas, un Aveņu fonds lietotājus šādām izmaiņām nav sagatavojis, izmantojot īpašu emuāra ziņojumu.
Nokaitināti lietotāji komentē, ka eŠī uzvedība ir bīstama divu iemeslu dēļ:
Pirmkārt, ikreiz, kad tiek atjaunināta krātuvju informācija, instalējot vai atjauninot paketes, pakotņu pārvaldnieks aptaujā visus savienotos krātuves, tas ir,Microsoft serveris uzkrāj informāciju par visu lietotāju IP adresēm Raspberry Pi operētājsistēma, ar kuras palīdzību var izveidot lietotāja profilu.
Līdzīgu profilu var izmantot, piemēram, mērķtiecīgai reklāmai, piesakoties Microsoft pakalpojumos no tā paša IP.
Otrkārt, Microsoft repozitorijs ir savienots kā pilnībā uzticams, neskatoties uz to, ka tas nav Raspberry Pi operētājsistēmas izstrādātāju kontrolē, un lietotājiem netika lūgts apstiprinājums, lai pievienotu Microsoft GPG atslēgu. Ja, izmantojot šādu repozitoriju, tiek apdraudēta Microsoft infrastruktūra, var izplatīt viltus atjauninājumus, lai aizstātu standarta paketes vai aizstātu atkarības.
Viņš pat turpina to teikt
Tas ir veids, kā jūs visu laiku darāt lietas "līdzīgu problēmu dēļ", neinformējot par to viena paneļa datoru līnijas īpašniekus. »Lietotāji ir atgādinājuši par spriedzi starp Linux un Microsoft saistībā ar telemetriju.
Visbeidzot, tiek atzīmēts, ka kopienas atbalstīto Raspbian izplatīšanu problēma neietekmē, izmaiņas tiek pievienotas tikai Raspberry Pi OS - Raspberry Pi Foundation uzturētajam Raspbian variantam.
Vēl viena pieeja ir bloķēt Visual Studio kodu, ja vēlaties turpināt izmantot Raspberry Pi OS. Visual Studio kods ir aprīkots ar telemetrijas iespējām, tāpēc daudzi lietotāji uzskata Visual Studio Codium par piemērotāku.
Lai novērstu piekļuvi Microsoft serveriem Raspberry Pi operētājsistēmā, vienkārši komentējiet faila /etc/apt/sources.list.d/vscode.list saturu un izdzēsiet / etc / apt / trusted atslēgu. Gpg.d / microsoft .gpg.
Arī "127.0.0.1 paketes.microsoft.com" var pievienot vietnei / etc / hosts, lai bloķētu pieprasījumus.
Visbeidzot, ja jūs interesē uzzināt vairāk par to, varat konsultēties šo saiti.