[haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker

• From: "Haiku" <trac@xxxxxxxxxxxx>
• To: undisclosed-recipients: ;
• Date: Thu, 27 Feb 2020 00:41:42 -0000

#15754: Personal data in the BugTracker
-------------------------+------------------------------------------
   Reporter:  lelldorin  |      Owner:  nobody
       Type:  bug        |     Status:  new
   Priority:  high       |  Milestone:  Unscheduled
  Component:  - General  |    Version:  R1/Development
 Resolution:             |   Keywords:  security data, personal data
 Blocked By:             |   Blocking:
Has a Patch:  0          |   Platform:  All
-------------------------+------------------------------------------
Comment (by waddlesplash):

How secure is this information on the BugTracker server?

 It is "rate limited" so you cannot download too much at once. But anyone
 can download any file, yes.

output files of the system programs / scripts (ifconfig, listdev,

 listimage, listusb, sysinfo, c, dmidecode ...) the question arises:

 So, the "personal data" that may be in here is:

  * ifconfig: MAC address, network name. Your MAC address will usually
 identify what kind of device and maybe even when it was manufactured
 (however that info we usually include in the ticket), and once someone
 knows it, they can "find" you if you ever happen to connect (or, in some
 circumstances scan for) a network in their vicinity.

  * listdev: Lists PCI IDs. Unless you have some sort of "secret" PCI
 hardware, this usually will be the same as a listing from the
 manufacturer's website, so not that interesting.

  * listimage: This will show what programs and drivers you have loaded;
 what programs may be slightly revealing of your habits, but usually we ask
 people to include a "grep" portion on this line as its output is often
 unmanageably large otherwise.

  * listusb: Lists what USB devices you have attached; I think that is
 obvious...

  * sysinfo: Will contain most of the same information as "ifconfig" if you
 are connected to a network, as well as listdev, listusb, and what kernel
 drivers you have loaded. It may (under very rare circumstances) have more
 information than that, I think, but I can't remember specifics.

  * dmidecode: This one does include serial numbers for your hardware,
 usually, which may be more revealing than the MAC address. However, I
 don't know where we have asked users to provide it?

 It is worth noting that the FAQ pages detail some of this, at least for
 syslogs; and Linux and other distributions ask for "dmesg" when diagnosing
 problems, which includes all the information our syslog does (including
 MAC address, etc.) So, I think this is OK; users who particularly care can
 "anonymize" their information (and indeed some have when submitting
 syslogs) by deleting the network name and MAC address from them.

For example, through the info before uploading, that you should make

 sure that no personal or security-related data is included

 The MAC address, local network name, and local (NOT external) IP address
 are the most "personal" this data gets; however, I don't know if this is
 even considered "personal" data (rather "identifying" data.) At most your
 username might appear there, but one's username appears when submitting
 tickets, too...

 Security related data is not placed into any of these files under normal
 circumstances; if it does, usually something has gone wrong.

Can you create a script instead of the various output options that only

 contains the data that are not personal, security-relevant?

 It may be possible to craft a script that deletes MAC addresses from the
 syslog. However, if these are the only issue, then I don't know if it is
 really an issue at all worth adding to the general guides. Some (not even
 most, I think) of the same concerns of sharing your "dmesg" from Linux
 apply to Haiku.

For this reason I removed my project "BeSly System Analysis Tool" from

 the internet.

 I think this case was fundamentally different, as extrowerk wrote in his
 initial complaint:

So the program:
* collects unnecessary information
* doesn’t warn the user about this
* and it doesn’t try to remove any of this in any kind of automated way
Extra point: you publishing the collected data on the internet

 Submissions to the Haiku bugtracker are manual, never automated (there is
 a ticket about writing an automated crash reporter, Firefox-style; i.e.
 with user consent each time, but that is not yet implemented), and we
 always request certain things that the user collects manually (like the
 syslog.)

 We do not (and cannot) collect any of that automatically; if users do not
 want to provide it, then they do not have to; and the users of course in
 uploading it know that they are uploading it "to the internet."
-- 
Ticket URL: <https://dev.haiku-os.org/ticket/15754#comment:1>
Haiku <https://dev.haiku-os.org>
The Haiku operating system.

• References:
  • [haiku-bugs] [Haiku] #15754: Personal data in the BugTracker
    • From: Haiku

Other related posts:

• » [haiku-bugs] [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker - Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku
• » [haiku-bugs] Re: [Haiku] #15754: Personal data in the BugTracker- Haiku

1. Home
2. haiku-bugs
3. Archive
4. 02-2020

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---