[lug-ld] S) Problem präzise fragen. Blockade Heimtelefonieren, geht schon, wenn...

Mo Apr 17 00:14:35 CEST 2023

Hallo Heinz, hallo zusammen,

Am Donnerstag, 13. April 2023, 14:53:32 CEST schrieb Pahle Heinz:
> SPEZIELLE HEIMTELEFONIERER-LÖSUNG:
[...]
> Wenn das Heimtelefonieren in einem einzigen dicken Programm integriert
> ist, dann kann ich mir nicht helfen (Rückübersetzen, Aufrufe finden
> und abfangen - nur Theorie für mich). Dann: Unter Linux könnte ich eh
> keine Abwehr programmieren (Entwicklungssystem habe ich nicht).

Unter Linux müsstest Du nicht mal rückübersetzen, weil für fast [1] alle 
Programme der Quellcode verfügbar ist ;-)

Außerdem telefonieren open source-Programme selten bis gar nicht nach 
Hause. Fallls sie es doch mal tun, haben sie entweder sehr gute (und 
dokumentierte) Gründe, oder sie werden von den Distributionen 
zurechtgepatcht ("schön, dass Du nach Hause telefonieren willst, aber 
solange Du Deine Füße unter meinen Tisch, äh, Deine Dateien in mein RPM/
DEB-Paket steckst, lässt Du das mal schön bleiben!" [2]) und/oder von 
den Benutzern geteert und gefedert.

Ich habe natürlich nicht den Quelltext aller Programme, die ich nutze, 
gelesen. Trotzdem bin ich ziemlich sicher, dass die nicht heimlich nach 
Hause telefonieren. Die wollen sich schließlich nicht den Ruf ruinieren, 
und dank der freien Lizenzen wäre es notfalls auch einfach, eine Version 
"alles außer nach Hause telefonieren" zu bauen.

Bleiben als größtes (oder einziges?) Problem noch Webseiten, die sich 
irgendwie an meinem Werbeblocker etc. vorbeischleichen - aber dafür 
können nichtmal die Programmierer meines Browsers etwas.
Theoretisch könnte man das durch Überwachen aller Requests und Ergänzen 
der Filterlisten weitgehend in den Griff bekommen, praktisch ist es aber 
ein Kampf gegen Windmühlen, und mehr als 90% Erfolg stehen nicht mehr in 
einem sinnvollen Verhältnis zum Aufwand.

> Ich dachte bisher:
> Wenn ich fragliche Programme starte, aber selbst keine HTTP-Request
> auslöse, dann können dennoch abgesetzte Requests nur vom
> Heimtelefonieren kommen.

Stimmt prinzipiell - wobei auch in diesen Fällen relevant ist, welche 
Programme HTTP-Requests machen und warum.
(Als Beispiel: meine automatisierten Podcast-Downloads und den täglichen 
Check für Updates löse ich nicht selbst aus - trotzdem sind sie 
erwünscht.)

Gruß

Christian Boltz

[1] Auch für Linux gibt es Programme, die nicht open source sind. Das 
    ist aber eine kleine Minderheit, und als "normaler" Benutzer kommt 
    man oft auch ohne diese Programme aus.
    (meine Zufallssignatur nennt eines dieser Programme ;-)

[2] Ich weiß von einem Programm, dessen Entwickler standardmäßig 
    "Nutzungsstatistiken" will. Als das aufgefallen ist, gab es 
    a) einen Bugreport mit *sehr* deutlichen Kommentaren an diesen 
    Entwicker und b) einen Patch, der das im openSUSE-Paket abschaltet. 
    Ich habe jetzt nicht bei anderen Distributionen nachgesehen, aber 
    ich gehe davon aus, dass sie diesen Patch übernehmen oder längst
    übernommen haben.

-- 
<darix> "Nobody cares about Adobe. Acrobat is basically just a
collection of vulnerabilities that somehow also render PDFs."
[from #apparmor]