Pred nekaj dnevi je izšla novica, da je kot del nedavne posodobitve v sistemu Raspberry OS Fundacija Raspberry Pi je namestila Microsoftovo repozitorij na vseh enojnih računalnikih, ki so mu zaupali, brez vednosti njihovih lastnikov.
Manever v skupnosti ni ostal neopažen Linuxa, ki se odločno upira pomanjkanju preglednosti in telemetrije ter uporabnikom plošč Raspberry Pi razpravljajo o vključitvi klica v Microsoftovo skladišče na OS Raspberry Pi in dodatek Microsoftovega ključa GPG za zanesljivo namestitev paketa.
Microsoftovo repozitorij doda paket raspberrypi-sys-mods, ki vključuje skripte in nastavitve za operacijski sistem.
Konfiguracijo /etc/apt/sources.list.d spremeni skript post-inst in se uporablja za konfiguriranje razvojnega okolja VSCode. Glavne trditve so povezane z dejstvom, da so bili Microsoftovo repozitorij in ključ dodani brez opozorila uporabnikom.
Ideja dodajanja repozitorija Microsoft apt je olajšati uporabo razvojnega okolja Visual Studio Code.
Uradno je to zato, ker podpirajo Microsoftov IDE (!), Vendar ga boste dobili, tudi če ste ga namestili iz jasne slike in svoj Pi uporabljali brez glave brez grafičnega uporabniškega vmesnika. To pomeni, da vsakič, ko na svojem Pi izvedete "primerno posodobitev", pingate Microsoftov strežnik.
Prav tako namestijo ključ Microsoft GPG, ki se uporablja za podpisovanje paketov iz tega skladišča. To lahko privede do scenarija, ko posodobitev potegne odvisnost iz Microsoftovega repozitorija in sistem samodejno zaupa temu paketu.
Namestitev repozitorija poteka tiho, brez soglasja uporabnikov, Raspberry Foundation pa uporabnikov na takšno spremembo ni pripravil z namensko objavo v spletnem dnevniku.
Nadloženi uporabniki komentirajo, da eTakšno vedenje je nevarno iz dveh razlogov:
Prvič, kadar koli se informacije o repozitorijih posodobijo pri nameščanju ali posodabljanju paketov, upravitelj paketov poišče vse povezane repozitorije, tj.Microsoftov strežnik zbira informacije o naslovih IP vseh uporabnikov Operacijski sistem Raspberry Pi, s katerim lahko ustvarite uporabniški profil.
Podoben profil lahko na primer uporabimo za ciljno oglaševanje pri prijavi v Microsoftove storitve z istega IP-ja.
Drugič, Microsoftovo skladišče je povezano kot popolnoma zaupanja vredno, kljub dejstvu, da ni pod nadzorom razvijalcev operacijskega sistema Raspberry Pi in uporabniki niso zahtevali potrditve za dodajanje ključa Microsoft GPG. Če je Microsoftova infrastruktura s takšnim skladiščem ogrožena, se lahko lažne posodobitve distribuirajo za zamenjavo standardnih paketov ali zamenjavo odvisnosti.
To še pove
Tako ves čas počnete stvari "za podobne težave", ne da bi o tem obvestili lastnike vaše enokrmilne enote. »Uporabniki so opozorili na napetosti med Linuxom in Microsoftom zaradi telemetrije.
Na koncu je treba opozoriti, da težava ne vpliva na distribucijo Raspbian, ki jo podpira skupnost, sprememba pa je dodana le OS Raspberry Pi, različici Raspbian, ki jo vzdržuje Raspberry Pi Foundation.
Drug pristop je blokiranje kode Visual Studio, če želite še naprej uporabljati sistem Raspberry Pi. Visual Studio Code je opremljen z možnostmi telemetrije, zato mnogi uporabniki menijo, da je Visual Studio Codium bolj primeren.
Če želite odstraniti dostop do Microsoftovih strežnikov v operacijskem sistemu Raspberry Pi, preprosto komentirajte vsebino datoteke /etc/apt/sources.list.d/vscode.list in izbrišite ključ / etc / apt / trusted. Gpg.d / microsoft .gpg.
Za blokiranje zahtev lahko v datoteko / etc / hosts dodate tudi "127.0.0.1 пакети.microsoft.com".
Končno, če vas zanima več o tem, se lahko posvetujete naslednjo povezavo.