Un utente malintenzionato può sfruttare il mio / etc / machine-id?

Inizialmente avevo posto questa domanda su Stack Overflow , ma la gente mi ha suggerito di fare una domanda qui.

Sto scrivendo un software che deve identificare in modo univoco più macchine diverse. Stavo pensando di usare /etc/machine-idper fare questo.

Mentre leggevo i documenti per machine-id, mi sono imbattuto in questo passaggio:

Questo ID identifica in modo univoco l'host. Dovrebbe essere considerato "riservato" e non deve essere esposto in ambienti non attendibili, in particolare sulla rete. Se per alcune applicazioni è necessario un identificatore univoco stabile collegato alla macchina, l'ID macchina o parte di essa non deve essere utilizzato direttamente. Al contrario, l'ID macchina deve essere sottoposto a hash con una funzione hash crittografata e con chiave, utilizzando una chiave fissa specifica per l'applicazione.

Non so molto di dbus, ma avevo l'impressione che fosse solo per IPC. In tal caso, non sono sicuro del motivo per cui sarebbe davvero importante se un utente malintenzionato remoto conoscesse l'ID macchina. Oltre agli ovvi problemi di privacy, ci sono ragioni di sicurezza (conosciute) legittime per non condividere il proprio ID macchina? O è solo un caso di documentazione fortemente formulata?

linux security

— Cameron Sun
fonte

Probabilmente faresti meglio a guardare tutti i numeri di serie disponibili (CPU / HDD) e forse l'indirizzo di rete (indirizzo MAC). /etc/machine-idè un file e l'indirizzo MAC è facilmente falsificato, poiché può essere facilmente copiato (aggirando la tua identificazione).

— Attie,

In quale architettura / processore sei? L'i.MX6 con cui sto lavorando al momento ha il suo numero di serie davvero unico e di sola lettura esposto tramite sysfs.

— Attie,

@Attie Non ci sono conseguenze reali per le macchine che falsificano i loro ID nel mio scenario, quindi non sono davvero preoccupato per quello. In realtà, non sono davvero a corto di idee su come ottenere un ID unico per ogni macchina, questa domanda era più per soddisfare la mia curiosità su come l'id macchina è specificamente utilizzato (e se è potenzialmente pericoloso esporlo).

— Cameron Sun,

suona bene - Sono ansioso di sentire anche qualsiasi risposta ...

— Attie

No, questo testo è stato aggiunto per motivi di privacy piuttosto che di sicurezza.

L'ID macchina è simile a un UDID iOS o un indirizzo MAC; esporla inutilmente (tramite la rete o ad app in modalità sandbox) potrebbe consentire a qualcuno di tracciare gli utenti del programma attraverso le reti o collegare l'utilizzo della stessa persona di app diverse.

Vedi discussione:

Problema GitHub: # 4667 "[RFE] API pubblica per la richiesta di valori univoci derivati dall'ID macchina"

— user1686
fonte