Journal Abiword m'espionne

Posté par (page perso) .
Tags : aucun
1
18
déc.
2006
Tiens, c'est rigolo, ça, j'ai l'impression que les développeurs d'Abiword aiment bien savoir que je fais.
Je tape un texte, comme souvent, je fais CTRL-S pour enregistrer, et hop, une connexion vers un certain abiword.snt.utwente.nl... J'efface une lettre, je refais CTRL-S, et paf, reconnexion. Et comme je suis parano grave, je sauve environ toutes les minutes : ça en fait des connexion. Et si j'écrivais "merde à l'admin de abiword.snt.utwente.nl" qui me lira, il viendra me casser la gueule ? Je devrais faire le test : s'il vient, c'est qu'ils lisent !
Très utile de lancer Etherape en fond d'écran et de regarder régulièrement les noms des serveurs qui apparaissent. Dommage qu'à part ce cliquodrome, je sois nul en outils réseau : je suis sûr qu'en capturant et analysant des paquets, je pourrai savoir ce qui est envoyé exactement.
Ce qui est bizarre, c'est que personne m'a prévenu, de façon claire, que j'enverrai ainsi des données (lesquelles ?) vers je ne sais qui lors utilisation, quand j'ai installé Abiword, ni par les RPM, ni dans les README des sources du bousin quand je l'ai compilé. C'est moyen-moyen, quand même.
Je trouve que ça devrait systématiquement et clairement être indiqué. En l'absence d'informations, le mot spyware vient très vite aux lèvres... Je me rappelle qu'à l'époque, quand nVu avait instauré son ping anonyme, une seule fois lors du premier lancement, pour des besoins statistiques, beaucoup avaient râlé. Ici, à chaque CTRL-S, je trouve ça encore plus bizarre.
  • # Wireshark

    Posté par (page perso) . Évalué à 8.

    Tu peux essayer d'utiliser Wireshark pour voir quelles sont les données qu'Abiword envoie.

    http://www.wireshark.org/
    Un outil réseau également très pratique. :)
  • # pas chez moi

    Posté par . Évalué à 5.

    abiword n'envoie rien sur le réseau chez moi (Debian/unstable à jour). Par contre j'ai aucun plugin d'installé.

    Des détails sur ta config?
    • [^] # Re: pas chez moi

      Posté par (page perso) . Évalué à 1.

      Aucun plugin non plus d'installé. Mais j'ai l'impression que ça le fait qu'avec les fichier au format Abiword (.abw). Faudra que je refasse plus de tests quand je serai de retour chez moi.
      • [^] # Re: pas chez moi

        Posté par . Évalué à 2.

        Je n'ai pas non plus observé de traffic http lors de sauvegarde de fichiers abw.

        J'ai discuté de ce problème avec les développeurs d'abiword, sur IRC.

        A priori, il n'y a pas d'accès http depuis abiword. Peut-être par libxml...

        Quelle est ta configuration ? (distribution, version d'abiword, de libxml, environnement de bureau).
  • # Trafic != envoi

    Posté par (page perso) . Évalué à 3.

    Chez moi en tout cas, j'ai bien du trafic à chaque 'Save', mais c'est en lecture:

    GET /awml.dtd HTTP/1.1

    Host: www.abisource.com

    Et en retour vient le document demandé.

    Bref: avant la parano, regarde mieux ce que dit le sniffer.

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: Trafic != envoi

      Posté par . Évalué à 6.

      Ils pourraient pas stocker leur dtd en local?
    • [^] # Re: Trafic != envoi

      Posté par . Évalué à 6.

      Un peu violent quand meme comme procédé de telecharger la dtd à chaque save...
      Apres je ne me suis pas renseigné mais c'est vrai qu'il serait peut-etre bon de le signaler pour eviter ce genre de doutes qui dans de mauvaises mains peuvent vite devenir des accusations.
      Apres s'en suit un enchainement incontrolable de proces, de guerres, d'invasions trollesques, puis il y a mort d'hommes et la on interdit le logiciel libre...
    • [^] # Re: Trafic != envoi

      Posté par . Évalué à 7.

      Pour obtenir une réponse..... il faut envoyer une requête non ??

      Donc même si la requête demande un document en retour, c'est quand même un envois d'information !!

      Première info que ça donne : Un utilisateur d'Abiword à sauvegardé.
      Deuxième info : le contenu de la requête. ça peut ne pas être anodin... surtout si on est parano ;) .

      Et donc que la requête soit un GET ou un POST..... peu importe, le problème est le même.
      • [^] # Re: Trafic != envoi

        Posté par . Évalué à -7.

        Et donc que la requête soit un GET ou un POST..... peu importe, le problème est le même

        Si, si, et en plus, il parait qu'en effectuant une analyse statistique de la fréquence des sauvegarde, et en corrélant ces résultats avec l'adresse IP de la machine, on peut retrouver la numéro de carte bleue de ma belle-s½ur.

        Non, mais il y a des boulets, je te jure...

        Le comportement observé est très certainement une boulette de programmation, et peut-être corrigée dans une version récente d'Abiword.. Le mieux, c'est de faire un rapport de bug.

        Mais apparemment, ça à l'air d'être plus rigolo de faire mumuse avec un sniffer et de poster sur linuxfr, que d'avoir une discussion constructive avec les développeurs d'abiword.

        Tout ça me rappelle un certain poste détruisant GTK il y a quelques jours (http://linuxfr.org/~gnumdk/23303.html).
        • [^] # Re: Trafic != envoi

          Posté par . Évalué à 8.

          ouais c'est vraiment trop un boulet de critiquer un comportement tout à fait normal, il a qu'à se le programmer lui-même son logiciel de traitement de texte. Si ça lui plaît pas, qu'il l'utilise pas et c'est tout. Et puis qu'est ce qui lui prend à ce con de lancer un sniffeur, ça devrait être interdit !
          • [^] # Re: Trafic != envoi

            Posté par . Évalué à 5.

            ouais c'est vraiment trop un boulet de critiquer un comportement tout à fait normal

            Je n'ai pas dit que c'est normal.

            Il a qu'à se le programmer lui-même son logiciel de traitement de texte

            Je ne lui ai pas dit de le programmer lui même (un rapport de bug, c'est de la programmation ?).

            Si ça lui plaît pas, qu'il l'utilise pas et c'est tout.

            Je n'ai pas dit ça.

            Et puis qu'est ce qui lui prend à ce con de lancer un sniffeur, ça devrait être interdit !

            C'est juste que s'il a les compétences et le temps de faire ça, un petit tour sur la liste de diffusion d'Abiword, ou sur le canal IRC, ou sur le bugzilla, pour se mettre au jus, avant de venir crier au loup sur linuxfr, ça ne peut pas faire de mal.

            Alors, oui, un peu de respect et de considération pour les copains qui bossent sur leur temps libre pour développer du logiciel libre, c'est pas plus mal.
            • [^] # Re: Trafic != envoi

              Posté par (page perso) . Évalué à 1.

              100% d'accord. Il s'agit peut-être simplement d'un bug que personne n'a jamais remarqué.

              Poster ce journal sur linuxfr sur un ton humoristique ne me dérange pas. Mais j'espère que son auteur a posté soit un bug, soit un mail sur la liste de dev.
        • [^] # Re: Trafic != envoi

          Posté par . Évalué à 2.

          Enfin jsais pas si c'est vraiment un bug: comment la libxml (dont je présume qu'elle est la responsable du problème) est sensé faire pour valider un document xml avec l'url d'une dtd sans aller consulter la dtd ? Aussi, dire que mon document xml est valide vis-à-vis de file:///usr/lib/abiword/awml.dtd n'a aucun sens...
          Ceci dit, cette vérification en ligne n'est pas indispensable puisqu'abiword fonctionne très bien sur un ordinateur hors-ligne.
          • [^] # Re: Trafic != envoi

            Posté par (page perso) . Évalué à 2.

            il me semble qu'il y ait deux types de DTD, on peut soit metre SYSTEM, soit PUBLIC. Si je me souviens bien PUBLIC va rechercher une URL, mais avec SYSTEM, le logiciel qui la lit doit déja connaître la DTD.
            Bon, je ne suis pas très sure la dessus, mais je crois que c'est ca.
  • # Abiword et les documents en ligne

    Posté par (page perso) . Évalué à 4.

    Je sais qu'Abiword permet le travail collaboratif avec un espace partagé sur le net. Peut être que cela correspond a cela ces requêtes, ceci étant il ne devrait rien faire si il s'agit d'un document local.

    Un algorithme a revoir peut etre.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.