Disa ditë më parë u lansua lajmi se si pjesë e një azhurnimi të fundit në Raspberry OS, Fondacioni Raspberry Pi instaloi një depo të Microsoft në të gjithë kompjuterët me një bord të vetëm që i besuan asaj, pa dijeninë e pronarëve të tyre.
Manovra nuk ka kaluar pa u vërejtur brenda komunitetit të Linux që po rritet për të kundërshtuar mungesën e transparencës dhe telemetrisë dhe përdoruesve të bordeve Raspberry Pi po diskutojnë duke përfshirë një thirrje në depon e Microsoft në Raspberry Pi OS, plus shtimi i një çelësi Microsoft GPG për instalim të besueshëm të paketës.
Depoja e Microsoft shtohet nga paketa raspberrypi-sys-mods, i cili përfshin skriptet dhe cilësimet specifike të sistemit operativ.
Konfigurimi i /etc/apt/sources.list.d modifikohet nga skenari post-inst dhe përdoret për të konfiguruar mjedisin e zhvillimit të kodit VSC. Pretendimet kryesore kanë të bëjnë me faktin se depoja dhe çelësi i Microsoft janë shtuar pa paralajmëruar përdoruesit.
Ideja që shton depon e Microsoft apt është të bëjë më të lehtë përdorimin e mjedisit të zhvillimit të Kodit Visual Studio.
Officiallyshtë zyrtarisht sepse ata mbështesin IDE të Microsoft (!), Por ju do ta merrni atë edhe nëse e keni instaluar nga një imazh i qartë dhe përdorni Pi tuaj pa kokë pa GUI. Kjo do të thotë që çdo herë që bëni një "azhurnim të prirur" në Pi tuaj, ju jeni duke bërë ping në një server Microsoft.
Ata gjithashtu instalojnë çelësin Microsoft GPG që përdoret për të nënshkruar paketat nga ai depo. Kjo mund të çojë në një skenar ku një azhurnim tërheq një varësi nga depoja e Microsoft dhe sistemi do t'i besonte automatikisht asaj pakete.
Instalimi i depozitës bëhet në heshtje, pa pëlqimin e përdoruesit, dhe Fondacioni Raspberry nuk i përgatiti përdoruesit për një ndryshim të tillë përmes një postimi të dedikuar në blog.
Përdoruesit e bezdisshëm komentojnë se eKjo sjellje është e rrezikshme për dy arsye:
Së pari, sa herë që informacioni i depove azhurnohet kur instaloni ose azhurnoni paketat, menaxheri i paketës voton të gjithë depot e lidhura, dmthServeri Microsoft grumbullon informacion në lidhje me adresat IP të të gjithë përdoruesve Sistemi operativ Raspberry Pi, i cili mund të përdoret për të krijuar një profil përdoruesi.
Një profil i ngjashëm mund të përdoret, për shembull, për reklamat në shënjestër kur hyni në shërbimet e Microsoft nga e njëjta IP.
Së dyti, depoja e Microsoft është e lidhur si plotësisht e besueshme, përkundër faktit se nuk është nën kontrollin e zhvilluesve të sistemit operativ Raspberry Pi dhe përdoruesve nuk iu kërkua konfirmim për të shtuar çelësin GPG të Microsoft. Nëse infrastruktura e Microsoft është kompromentuar përmes një depoje të tillë, azhurnimet false mund të shpërndahen për të zëvendësuar paketat standarde ose për të zëvendësuar varësitë.
Ai madje vazhdon duke thënë se
Kështu i bëni gjërat gjatë gjithë kohës "për probleme të ngjashme" pa informuar pronarët e linjës suaj të kompjuterëve me një bord. »Përdoruesit kanë kujtuar tensionet midis Linux dhe Microsoft mbi telemetrinë.
Më në fund, vërehet se shpërndarja e Raspbian e mbështetur nga komuniteti nuk preket nga problemi, ndryshimi i shtohet vetëm Raspberry Pi OS, një variant i Raspbian që mirëmbahet nga Raspberry Pi Fundations.
Një qasje tjetër është bllokimi i Kodit Visual Studio nëse dëshironi të vazhdoni të përdorni Raspberry Pi OS. Visual Studio Code është i pajisur me mundësi telemetrike, kështu që shumë përdorues e shohin Visual Studio Codium më të përshtatshëm.
Për të eleminuar hyrjen në serverët e Microsoft në sistemin operativ Raspberry Pi, thjesht komentoni përmbajtjen e skedarit /etc/apt/sources.list.d/vscode.list dhe fshini çelësin / etc / apt / trusted. Gpg.d / microsoft .gpg
Gjithashtu, "127.0.0.1 packages.microsoft.com" mund të shtohet në / etc / host për të bllokuar kërkesat.
Së fundi, nëse jeni të interesuar të dini më shumë për të, ju mund të konsultoheni lidhja e mëposhtme.