[Copio&Pego] Desde que a mediados de 2015 Microsoft lanzase la más reciente versión de su producto estrella, nos referimos a Windows 10, muchas han sido las críticas que ha recibido. A pesar de ser un sistema potente y seguro, hay algunas razones y funciones por las que el software ha sido muy criticado, y lo sigue siendo. Una de las principales es por todo lo relacionado con los datos de uso de los propios usuarios, lo que se conoce como telemetría. Ahora parece que para estas tareas, los de Redmond no tienen bastante con Windows y [...]
Comentarios
#teahorrounclick Microsoft han conseguido meter una entrada en los ficheros de configuración de repositorios de paquetes del fork ¿Debian/Ubuntu? Raspberry Pi OS (distro oficial de Raspberry), con lo cual cada vez que alguien haga un apt update ellos va a recoger información del usuario.
#1 vale... sí, efectivamente, todo el mundo que pone un repositorio de paquetes sabe cuando se conecta la gente. Normal.
Pero considerar eso un problema es un poco meh.
#3 no, eso no es un problema, es el comportamiento estándar.
El problema es meter el repositorio y la llave GPG mediante una actualización silenciosa y sin avisar, cuando además no es necesario y por ahora no se sabe para que lo van a usar.
#1 Peor que eso está el hecho de que al añadir el repositorio de Microsoft a tu instalación, y aceptarse las llaves públicas, ellos podrían (si les da la gana) actualizar cualquier paquete que tú tengas instalado en tu ordenador con una versión suya.
Es como si te compras una casa y el promotor le deja una copia de las llaves a Amazon sin que tú lo sepas. Y cuando te enteras, te dicen que no te preocupes, que no hay nada de malo en que Amazon pueda entrar en tu casa porque no va a hacerlo salvo que se lo pidas.
#4 ¿¿??
Lo dudo. Las llaves son solo para verificar la autenticidad e integridad de los paquetes. No para instalar/desinstalar nada de modo remoto.
#5 creo que se refiere a que al menos en teoría podrían meter una versión más nueva de cualquier paquete en su repositorio, y por defecto se tomaría esa al actualizar.
Pero "cantaría" bastante, la gente se daría cuenta enseguida. Aquí el problema de base es considerar o no a Microsoft como proveedor de confianza, si no confías en él debes de sacarlo del APT, y si confías pues es como cualquier otra fuente de paquetes, no hay mayor problema porque sea Microsoft.
#5 No, pero supón que tienes instalada la versión "1.23" del programa "xyz". Ahora, se te añade a tu sistema el nuevo repositorio de Microsoft de tapadillo como ha hecho la fundación Raspberry. Mañana, Microsoft publica en su repositorio la versión "1.24" de ese programa "xyz" que tú ya tenías... pues en la siguiente actualización que hagas, el programa binario se descargará de dicho origen y se instalará, sin que te des cuenta de dónde viene.
#8 la gente se daría cuenta al instante de que ese paquete no corresponde al repositorio de Microsoft.
Creo que si hay tanta desconfianza hacia Microsoft en particular, que no entiendo el motivo, lo que hay que hacer es quitarlo del APT.
#9 Sí, claro que se darían cuenta... también se dan cuenta cuando Microsoft intenta, mediante una actualización de Windows, forzar algún producto suyo poniendo a los de la competencia en desventaja. Ellos siempre se disculpan después diciendo que fue "un error" o "un despiste", aunque el mal (que para ellos es el bien) ya está hecho.
Por eso, ante empresas que funcionan así, mejor que "quitarlo del APT" hubiese sido no haberlo metido nunca, y el que confíe en esa clase de empresas que lo añada por su cuenta.
#8 No cantaría que la firma de los dos paquetes no coincida?
#11 Pero la versión de dichos paquetes no tendría por qué coincidir... en Ubuntu hay paquetes cuyas versiones son cosas como "1.8.9p5-1ubuntu1.5+esm6" por lo que, si lo que dices pudiese ocurrir, no sería muy difícil evitar conflictos.
#0 Raspberry Pi OS añade un repositorio de Microsoft que no hace gracia a los usuarios
Raspberry Pi OS añade un repositorio de Microsoft ...
linuxadictos.com