Journal Ubunteros, Comptez vous !

Posté par (page perso) .
Tags : aucun
4
10
août
2010
On n'est pas vendredi, et c'est dommage, car ça aurait créer encore plus de troll. Mais je vous fait confiance, même un mardi ;-)

Canonical (entreprise derrière ubu) a décidé de commencer à traquer les installations d'ubuntu.
Le paquet est dans les dépots de la 10.04. Pour ma part, je l'ai installé, après avoir vérifié que le code ne faisait rien de bien méchant.

On aura des stats encore plus intéressantes, quand le paquet sera installé d'office en 10.10.

http://www.ubuntugeek.com/canonical-begins-tracking-ubuntu-i(...)
  • # Interêt ?

    Posté par . Évalué à 10.

    Je vois pas l'interết du truc quand on a déjà l'option pour activer popularity-contest

    Le paquet popularity-contest met en place un cron job qui soumettra périodiquement de manière anonyme aux développeurs d'Ubuntu des données statistiques à propos des paquets Ubuntu les plus utilisés sur ce système.

    Administration > Sources de logiciels > Statistiques
    • [^] # Re: Interêt ?

      Posté par (page perso) . Évalué à 7.

      Je crois que le but de canonical-census est un peu différent de celui de popcon. Là il ne s'agit pas de lister les packages installés afin de savoir quels sont les logiciels les plus populaires. Canonical-census envoie juste un ping quotidien sur les serveurs de la firme afin de savoir si les machines OEM ont toujours l'OS Ubuntu avec lesquelles elles ont été livrées ou bien si les gens réinstallent leurs systèmes.

      "Canonical is just interested in tracking the users of OEM installations (...). This information will obviously be valuable to both companies to see whether customers are keeping around their Ubuntu installations or just wiping them".

      Comme c'est une information très basique il n'y a pas vraiment amha de problème de vie privée:

      "this does not send any user specific data; it only transmits the operating system version, the machine product name, and a counter how many pings were sent.".
      • [^] # Re: Interêt ?

        Posté par . Évalué à -1.

        peut etre que cela leur mettra un coup de pied au fesses pour faire une distrib digne de ce nom. Vu que pas mal de monde, dont toi si j'ai bien suivi, en ont soupe des bugs de ubuntu.
        • [^] # Re: Interêt ?

          Posté par (page perso) . Évalué à 9.

          >>> Vu que pas mal de monde, dont toi si j'ai bien suivi, en ont soupe des bugs de ubuntu.

          Je n'ai pas parlé des bugs quand j'ai dit que j'en avais marre d'Ubuntu.
          C'est plus une philosophie générale qui me gave: le fait que les décisions sont prises exclusivement par Mark Shuttleworth, le fait qu'ils ne bossent pas upstream, le fait qu'il y a des applications Mono par défaut, le fait que la partie serveur de Ubuntu One ou de leur Music Store est propriétaire, etc.
          C'est un tout qui m'a fait prendre la décision de changer.
          • [^] # Re: Interêt ?

            Posté par (page perso) . Évalué à 4.

            Mais attends, ils bossent upstream, c'est juste que l'upstream, c'est un projet à eux ou il faut donner son copyright ( cf interview de Jono Bacon http://derstandard.at/1280984081593/Ubuntu-We-have-no-plans-(...) :
            " Actually that's all upstream work, it's just that Ayatana is the upstream." ).

            L'interview est commenté sur http://blogs.gnome.org/johannes/2010/08/10/we-have-no-plans-(...) .

            Et je doit reconnaitre que c'est vrai que ç'est un peu ridicule. Autant j'ai pas de souci avec le fait que Canonical ne fasse pas de travail upstream, autant j'ai vraiment du mal avec la façon dont certains essayent de tourner les mots.

            ( et encore, je rajoute pas de troll sur http://www.severedfifth.com/2010/08/02/companies-that-have-s(...) et les déclarations de Jono sur Microsoft, tiré des commentaires de http://www.ebb.org/bkuhn/blog/2010/08/09/have-to-use.html ).
          • [^] # Re: Interêt ?

            Posté par . Évalué à 3.

            Les applis Mono par defaut malheureusement c'est dans quasiment toutes les distributions merci Gnome (tomboy est le ver dans la pomme sur le coup).

            Moi aussi c'est un peu tout ca mais surtout les non remontes des bugs upstream et la re-introduction de bug corrige upstream dans des versions successives de ce projet. Mais j'attend avec impatience la version 64 bits de Pardus pour migrer definitivement. La j'ai un mix d'ubuntu sur le portable et j'ai une opensuse sur le fixe. J'ai tester une Fedora mais bon ca marche pas bien sur mon thinkpad du coup elle n'a dure que 2 jours, il semblerait que ma carte video n'ai pas trop aime xorg 1.8.
            • [^] # Re: Interêt ?

              Posté par . Évalué à 2.

              Oui, enfin elles ont tendance à être remplacées, non ? Dans Fedora 13, sauf erreur, F-Spot a été remplacé par Shotwell (écrit en Vala), et Tomboy par GNote (écrit en C).
            • [^] # Re: Interêt ?

              Posté par (page perso) . Évalué à -1.

              > applis Mono par defaut malheureusement c'est dans quasiment toutes les distributions

              heu :
              herve@DreamMachine:~$ dpkg -l | grep mono
              herve@DreamMachine:~$

              sur debian lenny/sid
      • [^] # Re: Interêt ?

        Posté par (page perso) . Évalué à 5.

        Comme c'est une information très basique il n'y a pas vraiment amha de problème de vie privée:

        À part de savoir quels jour tu allume ton PC.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Interêt ?

          Posté par . Évalué à 4.

          C'est vraiment trop confidentielle/privée comme info... mais comment ils osent faire une telle chose!
          • [^] # Re: Interêt ?

            Posté par (page perso) . Évalué à 7.

            Ça permet de savoir quand tu es chez toi. Surtout si tu as une IP fixe.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Interêt ?

              Posté par . Évalué à 10.

              débranche ton cable réseau, les admins dlfp ont la même info
              • [^] # Re: Interêt ?

                Posté par (page perso) . Évalué à 8.

                J'ai une grosse ruse: bien souvent le soir et le week-end je suis au bureau, alors que dans la journée je suis chez moi.
                Comme ça les admins de Linuxfr se gourent lorsqu'ils me bombardent de publicité ciblée.
              • [^] # Re: Interêt ?

                Posté par (page perso) . Évalué à 3.

                Rien à voir, cette info est donnée sciemment, les admins de dlfp n'ont pas installé un paquet qui se connecte ici tout les jours. Je ne suis pas contre les recensement automatique, je veux juste être prévenu que ça se fait.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Interêt ?

                  Posté par . Évalué à 1.

                  Chose faite, on peut te recenser ?

                  Blague à part, qui te dit que tu ne seras pas prévenu lors de l'installation, avec la possibilité de le désactiver ? Pareil pour la version OEM, qu'est-ce qui te dit que tu n'auras pas le choix lors de la première ouverture de la machine.
                  • [^] # Re: Interêt ?

                    Posté par (page perso) . Évalué à 2.

                    Pareil pour la version OEM, qu'est-ce qui te dit que tu n'auras pas le choix lors de la première ouverture de la machine.

                    Je réagissais juste sur le fait que ça ne dévoilait pas la vie privée à la base. Je disais juste que si, en partie. Après il faudra voir comment c'est mis en place, il faudra juste s'en souvenir.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Interêt ?

                  Posté par . Évalué à 3.

                  C'était juste pour comparer avec le type et la quantité d'infos qu'on balance toute la journée sur le réseau (dlfp ayant beaucoup plus que des couples ip/heure), de façon volontaire comme ici, ou involontaire avec les divers organismes de pub

                  Et si on fait assez confiance à une distro pour l'installer, je pense qu'on peut se permettre 1 ping par jour avec le numéro de version et le matos (en plus des maj et l'heure). Après je suis d'accord avec toi : tant que l'utilisateur est au courant (je verrais bien une 2e case à cocher pas loin du popcon)
                  • [^] # Re: Interêt ?

                    Posté par . Évalué à 3.

                    > Et si on fait assez confiance à une distro pour l'installer, je pense qu'on peut se permettre 1 ping par jour avec le numéro de version et le matos

                    et si on est assez con^W^W^W fait assez confiance à Google pour installer et utiliser Google Chrome, on peut se permettre d'avoir un numéro d'identifiant unique qui leur permet de compter les moutons^Winstallations

                    on peut comprendre les besoins (des fois maladifs) des auteurs de systèmes, applications ou extensions qui veulent compter leurs installations ou utilisations véritables, puis on peut lire aussi :

                    http://online.wsj.com/article/SB1000142405274870330970457541(...)

                    et se demander ce qu'ils peuvent faire plus tard de ces données si l'envie leur prend de les monnayer ou de, disons, mal tourner, s'écarter de certaines valeurs à lesquelles ils tenaient quand même vraiment beaucoup au départ

                    après, chacun fait comme il veut, hein... mais déjà, si elles ne sont pas collectées, elles ne risquent pas d'être utilisées à mauvais escient quelques années plus tard
            • [^] # Re: Interêt ?

              Posté par . Évalué à 3.

              Pour les couillonner, j'ai trouvé l'astuce : j'éteins jamais mon ordi !
              • [^] # Re: Interêt ?

                Posté par (page perso) . Évalué à 2.

                Il suffit de provoqué une panne d'électricité et voir s'il redémarre. Ceux qui ont un PC qui redémarre tout seul après une panne de courant sont suffisamment rare pour que ce ne soit pas gênant. </mode complot>

                Plus sérieusement, je ne pense pas que la cible soit les gens qui n'éteignent pas leur PC.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Interêt ?

          Posté par (page perso) . Évalué à 5.

          À coupler avec http://scholar.google.co.uk/scholar?cluster=1275198666624294(...)

          We introduce the area of remote physical device fingerprinting, or fingerprinting a physical device [...] remotely, and without the fingerprinted device’s known cooperation. We accomplish this goal by exploiting small, microscopic deviations in device hardware: clock skews. [...] Our techniques report consistent measurements when the measurer is thousands of miles, multiple hops, and tens of milliseconds away from the fingerprinted device, and when the fingerprinted device is connected to the Internet from different locations and via different access technologies. Further, one can apply our passive and semi-passive techniques when the fingerprinted device is behind a NAT or firewall, and also when the device’s system time is maintained via NTP or SNTP. One can use our techniques to obtain information about whether two devices on the Internet, possibly shifted in time or IP addresses, are actually the same physical device.

          Et évidemment les TCP timestamps sont activées par défaut sur Ubuntu. Je suis sûr qu'en cherchant un peu on va trouver qu'au moins un des chercheurs qui a sorti ce papier est sud africain.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Interêt ?

          Posté par . Évalué à 2.

          On peut identifier un pc parmi des milliers avec les infos envoyées ou c'est difficilement traçable?
          • [^] # Re: Interêt ?

            Posté par . Évalué à 2.

            J'ai lu le lien, je pense que toutes les infos couplées permettent potentiellement de trianguler efficacement, mais pas d'identifier formellement.
  • # Stats publiques ?

    Posté par (page perso) . Évalué à 8.

    D'aprés phoronix, le but est surtout de compter les installations OEM.

    http://www.phoronix.com/scan.php?page=news_item&px=ODQ5M(...)

    D'ailleurs, c'est aussi marqué sur le site que tu donnes.

    Moi, ce qui me semble utile, c'est de savoir si les stats vont être publiques ou non.


    ( et la, je pense que GeneralZod ou un autre fedoriste va parler de smolt et co ).
  • # plop

    Posté par (page perso) . Évalué à -2.

    > quand le paquet sera installé d'office en 10.10.
    ha oué, génial ... vachement envie que mon ordi envoie des ping sur un serveur canonical (journalier) alors que j'ai rien demandé (si on prend le cas OEM)
    Et après les gens se plaignent de l'iphone ... avec un ping on sait aussi (en général) où la personne se trouve...
    • [^] # Re: plop

      Posté par (page perso) . Évalué à 7.

      Pour information, lorsque une machine Ubuntu démarre, elle connecte son client NTP (Network Time Sychronisation) à ntp.ubuntu.com.

      C'est juste pour mettre la machine à l'heure.

      D'un autre coté, les gens de Canonical peuvent, en analysant les connexions à ce serveur, avoir une idée du nombre de machines Ubuntu dans la nature. Et ils ont aussi l'adresse IP de ces machines-là (ou au moins, celle du dernier proxy/routeur qu'elles utilisent)

      Pour Debian, c'est la même chose :
      - lors de l'installation en "net install", dès que le client DHCP est lancé, la première chose qui est faite est une mise à l'heure la machine, sur debian.pool.ntp.org
      - lorsque tu installes le paquet NTP (je ne me souviens plus de si il est installé par défaut), le serveur de temps est debian.pool.ntp.org

      Et (encore) pour information, les machines sous Windows se synchronisent sur time.windows.com
      • [^] # Re: plop

        Posté par . Évalué à 4.

        En entreprise, on a souvent un serveur NTP interne. C'est pas tant d'avoir les PC à l'heure exacte que de tous les avoir strictement à la même heure, donc autant avoir une chaîne qu'on maîtrise entièrement.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: plop

        Posté par (page perso) . Évalué à 10.

        Non, c'est différent sur debian car ntp.org n'est pas sous le controle de debian, d'une part, et d'autre part, les machines qui sont pointés par le nom de domaine ne sont pas non plus sous le contrôle de debian :

        ~ $ host 0.debian.pool.ntp.org
        0.debian.pool.ntp.org has address 88.191.94.53
        0.debian.pool.ntp.org has address 93.184.32.4
        0.debian.pool.ntp.org has address 94.23.196.225
        ~ $ host 88.191.94.53
        53.94.191.88.in-addr.arpa domain name pointer sd-16014.dedibox.fr.
        ~ $ host 93.184.32.4
        4.32.184.93.in-addr.arpa domain name pointer sivit.richard.demongeot.biz.
        ~ $ host 94.23.196.225
        225.196.23.94.in-addr.arpa domain name pointer kontir.mkc.fr.

        Ce sont sans doute des volontaires qui participent à pool.ntp.org. Donc la possibilité de faire des stats et du tracking sont nulles.

        En vertue de quoi, je pense qu'on peut dire que la méthodologie de Canonical est plus proche de celle de Microsoft que celle de Debian ( sauf que Microsoft utilise en plus des serveurs en anycast chez akamai ). Mais c'est pas une critique, je pense qu'ils ont simplement voulu avoir des stats anonymes et pas trop précises pour voir leur croissance, c'est naturel. Ou tout comme microsoft, ils ont preferé s'appuyer sur un systéme sous leur responsabilité pour plus de sureté ( et pour éviter : http://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse ).

        D'autre part, le fait d'avoir le nombre d'utilisateurs de leur serveur ntp ne donne pas vraiment des statistiques fiables. Tu ne sais pas combien de fois en moyenne une machine va faire de requetes par jour, ni si les requetes sont bloqués par le firewall, ni même si tu as 15 machines ou juste 1 qui est à l'ouest. Enfin, tu as aucune information sur la machine elle même, tel que la distribution, ou ce genre de choses.

        Visiblement, le paquet canonical census collecte plus d'information que ça ( distribution lsb, nombre de ping, et le contenu du paquet /var/lib/ubuntu_dist_channel, et celui de /sys/class/dmi/id/product_name ).

        Au passage, tout les gens qui pensent qu'installer le paquet va servir à quelque chose vont être decu de voir que seul les machines avec justement un fichier ubuntu_dist_channel sont prises en compte. Donc pas la peine de se jetter sur le paquet pour gonfler les stats de canonical. ( par contre, un lien du style
        http://census.canonical.com/submit?count=0&dcd=linuxfr&a(...) la ou les moteurs de recherches passent va parfaitement remplir son office )
      • [^] # Re: plop

        Posté par . Évalué à 2.

        Juste pour compléter ton information, Apple utilise dans nos contrées "time.euro.apple.com" comme NTP.

        Ubuntu rejoint les autres éditeurs de systèmes d'exploitation des ordinateurs grand public.
    • [^] # Re: plop

      Posté par . Évalué à 5.

      apt-get remove canonical-census

      Un peu différent d'un iphone ... faut pas exagérer quand même, comparer ubuntu qui fait ping avec ce mouchard de poche
      • [^] # Re: plop

        Posté par (page perso) . Évalué à 3.

        Ben ça reste de l'opt-out, et de surcroit, noyé au milieu de tout un tas de paquets. Et je sais pas si Canonical a prévu de vraiment prévenir les utilisateurs, ( un peu comme ce que font les gens de VLC qui posent la question au lancement ).
    • [^] # Re: plop

      Posté par . Évalué à 8.

      Haaa mais oui en fait c'est ça les 70mo envoyés par les iphones chaque nuit, c'est juste un ping "I am alive", d'accord je comprends mieux.
  • # Le paquet ?

    Posté par . Évalué à -1.

    Bien, tu as vérifié le paquet.
    Maintenant, tu peux vérifier tous les autres paquets de l'installation par défaut pour voir si Canonical n'y a pas mis une backdoor leur permettant de profiter de l'information (ip+ubuntu est installé) pour prendre le contrôle de ton pc.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Le paquet ?

      Posté par . Évalué à 2.

      Tu utilises une LFS dont tu as personnellement verifie TOUTES les lignes de codes? Tu es bien courageux.
      • [^] # Re: Le paquet ?

        Posté par . Évalué à 1.

        Non, mais je n'installe pas non plus un paquet qui dit "j'ai ubuntu 4.2 installé à telle ip".

        Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Le paquet ?

      Posté par (page perso) . Évalué à 2.

      tu as vérifié le paquet. Maintenant, tu peux vérifier tous les autres paquets
      Le problème est plus simple que cela, et vieux comme tout: rien n'indique que le binaire correspond aux sources :-)

      Un vieil exemple, mais alors vraiment vieux, et bien vicieux (et hyper connu, je sais): http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#Le_cas_(...)
      • [^] # Re: Le paquet ?

        Posté par . Évalué à 1.

        D'après l'article, il est dit qu'il s'agit d'un bête script python, il y a donc peu de risque qu'il soit compilé.
        • [^] # Re: Le paquet ?

          Posté par (page perso) . Évalué à 2.

          Et les .pyc ce sont des fichiers compilés ou une sucette géante?

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Le paquet ?

            Posté par . Évalué à 0.

            oui mais bon cela se decompile assez facilement et vu la "popularite" actuelle de ubuntu chez les devs linux je suis presque sur que si le fichier .py n'est pas fournis le .pyc sera "legerement" decompile.
          • [^] # Re: Le paquet ?

            Posté par . Évalué à 1.

            Et les .pyc ce sont des fichiers compilés ou une sucette géante?

            C'est du code python précompilé pour l'interpréteur cpython (l'interpréteur principalement utilisé), mais à ma connaissance ce n'est utilisé que pour les extensions (afin d'accélérer le chargement des modules), pas pour les applications elles-mêmes.
            • [^] # Re: Le paquet ?

              Posté par . Évalué à -1.

              si cela marche aussi pour la applications. Tu peux tout a fait donner un fichier foo.pyc et faire un python foo.pyc qui le fera tourner si c'est une application, avec le bemole que ce binaire ait ete cree sur la meme plateforme et probablement les memes mais vu que l'on prle d'une distrib c'est largement faisable.
              • [^] # Re: Le paquet ?

                Posté par . Évalué à -1.

                que la personne qui considere le message au dessus comme etant non pertinnent et ne repondant pas au message au dessus m'explique sa raison. Franchement la je ne comprend pas et si je dis une betise (ce que je sais n'est pas le cas) qu'il m'explique en quoi c'est faux (apres avoir fait son test)
          • [^] # Re: Le paquet ?

            Posté par (page perso) . Évalué à 3.

            les .pyc ce sont des fichiers compilés

            Mais seulement utilisables à partir de la console de pyCoinCoin.

            * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

      • [^] # Re: Le paquet ?

        Posté par . Évalué à 9.

        Le problème est plus simple que cela, et vieux comme tout: rien n'indique que le binaire correspond aux sources :-)

        C'est une publicité déguisée pour Gentoo ? :)
        • [^] # Re: Le paquet ?

          Posté par (page perso) . Évalué à 4.

          J'ignorais que Gentoo te force à compiler ton compilateur mentalement.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Lien ?

    Posté par (page perso) . Évalué à 3.

    Tu critiques le pistage des installations et tu donnes un lien avec 'utm_source=rss' et de nombreuses autres infos qui indiquent d'où viennent les visiteurs .. ;)

    (Même si dans ce cas, cela sera faux puisque nous n'aurons pas cliqué sur ce lien depuis les RSS)
    • [^] # Re: Lien ?

      Posté par (page perso) . Évalué à 2.

      euhhh ....

      je t'invite à relire ... je ne critique pas ce pistage.
      • [^] # Re: Lien ?

        Posté par (page perso) . Évalué à 1.

        J'avais mal compris ta phrase alors, au temps pour moi
  • # C'est évident (de la mère)

    Posté par . Évalué à 10.

    Canonical (entreprise derrière ubu) a décidé de commencer à traquer les installations d'ubuntu

    C'est pour calculer le retour sur investissement (ROI) mon enfant.

    On va enfin connaitre l'UBU ROI \o/

    (Ne vous donnez pas cette peine, je connais le chemin, restez assis)
  • # Ubuntu, une distro espagnole ?

    Posté par (page perso) . Évalué à 4.

    ¿ On a honte de nos suffixes francophones ?
    ¿ On doit dire aussi dire un fedorista, ou un archor ?

    Allez je sais ou est la puerta ^^
  • # Comptez-vous !

    Posté par . Évalué à 2.

    On peut aussi le faire manuellement pour éviter les intrusions non souhaitées dans notre vie privée. Allez je commence :

    1.
  • # Time to change

    Posté par (page perso) . Évalué à 0.

    Quand une société commence par mettre en place ce genre de pratique "c'est pour votre bien, ne vous inquiétez pas pour votre vie privée, signez là", il est temps de s'en éloigner!

    http://devnewton.bci.im

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.