Affiche les résultats de 1 à 5 sur 5

Sujet : openSUSE: identifiant unique dans les requêtes faites par le gestionnaire de paquet

  1. #1
    Caméléon bavard Avatar de passionlinux
    Inscrit
    janvier 2013
    Lieu
    Val d'oise
    Distribution
    openSUSE Tumbleweed (64 bits)
    Environnement
    KDE
    Messages
    605

    openSUSE: identifiant unique dans les requêtes faites par le gestionnaire de paquet

    Voila ce que j'ai pu lire sur un site connu des linuxiens, et la je me pose la question, est ce vrai?

    J'ai un peu suivi les discussions qui ont eu lieu à ce sujet et justement, il n'y a pas de pistage. Il s'agit juste de compter.

    J'ai beaucoup apprécié le soin qui a été mis là dedans. Une première proposition incluait l'utilisation d'un identifiant unique par machine. Finalement, il n'y en a pas.
    La solution actuelle me semble équivalente à l'utilisation d'un agent utilisateur par les navigateurs web, avec aucune information d'identification incluse.
    Il n'y a même pas de requête faite uniquement pour ça. L'agent utilisateur est simplement envoyé une fois par semaine dans une requête faite pour mettre à jour le système.
    Il était question d'ajouter un nombre qui donne depuis combien de semaines le système est installé, je ne sais pas où ça en est mais des problématiques du style « mais ça pourrait rendre identifiable certains systèmes installés depuis longtemps plus identifiables » sont réfléchies, ce qui est assez rassurant : https://fedoraproject.org/wiki/Chang...etter_Counting
    Je découvre par contre que OpenSUSE inclut un identifiant unique dans les requêtes faites par son gestionnaire de paquet, cela me semble beaucoup plus problématique.
    https://linuxfr.org/nodes/116888/comments/1769754
    https://linuxfr.org/news/fedora-30

  2. #2
    Caméléon sympa
    Inscrit
    octobre 2014
    Distribution
    openSUSE Tumbleweed (64 bits)
    Environnement
    KDE
    Messages
    312
    j'ai vérifié, est sa semble vrais:

    J'ai lancé wireshark, j'ai utiliser le filtre tcp.port == 80 || udp.port == 80, j'ai fermé tout les navigateurs.
    puis j'ai lancé un zypper dup.
    J'ai retrouvé un champs : X-Zypp-DistributionFlavor avec une valeur fixe sur tout les champs.

    par contre sur le dépôts pacman, ce champs n'est pas transmit.

    david
    Dernière édition par david; 03/05/2019 à 07h35

  3. #3
    Caméléon sympa
    Inscrit
    octobre 2014
    Distribution
    openSUSE Tumbleweed (64 bits)
    Environnement
    KDE
    Messages
    312
    J'ai refait quelle teste/recherche ce matin.

    J’utilise le filtre sur wireshark http.host contains opensuse || http.host contains packman ou http.user_agent contains ZYpp pour capté les packet de zypper.

    J'ai pas trouvé comment l'identifiant est générer. mais il ne semble pas être dans un fichier. (je ne sais pas à quoi il correspond)
    On y trouve la source ici : https://github.com/openSUSE/libzypp/...a/MediaCurl.cc ligne 517 pour la fonction qui génère le header et à la ligne 613 (if ( _url.getHost() == "download.opensuse.org" )) que seulement sur les dépôts sur download.opensuse.org identifiant est envoyé.

    Se qui me dérange, c'est que information sont envoyé en claire, il est possible d’intercepté est vous identifier sur en interceptent les packets sur le réseau.

    du coups j'ai lancé cette commande pour modifié en http -> https le code suivant :
    while read line
    do
    sed -e 's/https*:/https:/g' $line > $line.bak
    mv $line.bak $line
    done < <(find /etc/zypp/repos.d -name \*.repo)
    pour forcé l'usage de https.
    faite le à votre risque.

    sa à fonctionné sur tout les repos sauf pour le dépots packman (que je garde en http :-( )

    Si quelqu'un à plus d'info je suis preneur.

    David
    Dernière édition par david; 03/05/2019 à 12h01

  4. #4
    Caméléon bavard Avatar de passionlinux
    Inscrit
    janvier 2013
    Lieu
    Val d'oise
    Distribution
    openSUSE Tumbleweed (64 bits)
    Environnement
    KDE
    Messages
    605
    Ah merci David, c'est un début de réponse et donc tu confirmes la chose. Je sais pas si ça ferait quelque chose si j'exporte cette histoire sur la mailing list?

  5. #5
    Caméléon sympa
    Inscrit
    octobre 2014
    Distribution
    openSUSE Tumbleweed (64 bits)
    Environnement
    KDE
    Messages
    312
    j'ai une erreur, dans l’entête html avec l'id est X-ZYpp-AnonymousId qui donne un id du pc.

    J'ai fait un test avec quelle VM que j'ai sur mon pc, j'ai bien un id différents.

    quand je passe les dépôts en HTTPS, wireshark n'ait plus en mesure d'intercepté les paquets qui continue id. (il ne peut pas déchiffrer les messages https).

    par contre le téléchargent des mis à jour, ce fait en http (donc non sécurisé sur des miroirs des dépôts openSUSE) et le d'entête X-ZYpp-AnonymousId, n'est pas présent.
    quand je dit des dépôts, sur un gros paquet, j'ai observait qui est télécharger de plusieurs dépôts (qui sont dans des pays différents)

    @passionlinux je ne comprend pas la question, tu veux diffuser l'information?

    invite les utilisateur à faire le teste :
    ouvre wireshark -> sélectionner le réseau sur lequel vous passé par internet.
    Dans placer cette règle http.user_agent contains ZYpp comme filtre. histoire de n'afficher que les paquets qu'il peut lire, et qui viens par zypper.
    Lancer des commande avec zypper (comme zypper up) pour avoir des paquets à capturer.
    wirehark capte les paquets, sélectionner un. Dans des paquets recharder la zone Hypertext Transfer Protocol pour voir les entête.

    Après j’aimerais bien savoir comme de quoi l'id dépens et à quoi il sert.
    Enfin, il serais bien que tout zypper passe en HTTPS par défaut.

    david

Tags pour ce sujet

Règles des messages

  • Vous ne pouvez pas créer de sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas importer de fichiers joints
  • Vous ne pouvez pas modifier vos messages
  •  
  • Les BB codes sont Activés
  • Les Smileys sont Activés
  • Le BB code [IMG] est Activé
  • Le code [VIDEO] est Activé
  • Le code HTML est Désactivé