Moin, Yijare hier.

Und mal wieder etwas aus meiner Meckerecke. (ich nutze den Blog ja quasi für nichts anderes...) Und, es geht mal wieder um FTB. Dieses Mal geht es mir nicht um irgendeinen (schlecht) geschriebenen Mod der Firma, sondern (schon wieder) um das Stück glorreicher Software, die sich FTB App schimpft. Über das Ding hab ich mich ja schon anno 2022 aufgeregt. Aber tatsächlich geht es mir nicht um die App selber, sondern um ein Tool das die Firma dann für das "Debuggen" nutzt. Dieses wunderbare debugtool ist, gelinde gesagt, alles, aber kein gutes Tool.

Aber wie komme ich jetzt dadrauf? Nun, wie ihr gemerkt habt, gibt es seit Wochen Monaten keine Minecraft-Videos mehr. Das liegt allerdings nicht daran das ich das nicht gerne machen würde, nein, die FTB App kann eine Instanz mit der Minecraft Version 1.10.2 schlicht nicht mehr launchen. Ich weiß inzwischen woran das liegt und es gibt einen Workaround. Vielleicht gibts ja demnächst wieder ein Video mit Tempel und mir.

Ein weiteres Problem welches die App hat, ist das sie (visuell) Modeinträge nach einem Modupdate verdoppelt. Nachdem ich diesen Umstand auf der Github-Seite des Launchers gemeldet hatte, wurde ich aufgefordert, Logdateien mit Hilfe des Debugtools zu erstellen. Soweit, so gut. Das Debugtool ist ein in GO geschriebenes Comandline Programm, dass Logs erstellt und dann einen Code ausspuckt, den man den Entwicklern geben soll. Und genau hier, an dieser Stelle, dachte ich mir so: Moment Mal.

Warum? Weil normalerweise werden Logs - oder ähnliche Dateien, in ein Zip-File (oder etwas vergleichbares) gepackt und man soll dieses den Entwicklern zu kommen lassen. Hier aber nur ein simpler Buchstabensalat. Meine Neugierde war, zu meinem eigenen Unbehagen, geweckt.  Die ITlerin in mir hatte so oder so schon ihre Bedenken mit der Nutzung des Tools.

Meine Kenntnisse der Programmiersprache GO sind limitiert, aber ich kann mir doch Eins und Eins zusammenreimen. Da FTB "freundlicherweise" den Quellcode offenlegt, muss man hier auch keine EXE decompilieren.

Die kleine Debug-App überprüft zunächst einmal, ob bestimmte Dateien überhaupt existieren. Und macht dann diverse https-Abrufe für wichtige Minecraft Services. Angefangen bei ihrer eigenen API, über die von Mojang, OpenJDK (Java), die Buildserver für Forge, NeoForge und Fabric zu Creeperhost. Das letztere scheint eine Verzahnung zu sein, die hier uninteressant ist.

Dann wird geschaut auf welchem Betriebssystem man ist, wo die App installiert ist (hardcoded zu %localappdata%/.ftba/), wo Overwolf installiert ist und jetzt kommen die interessanteren Sachen. Das Tool sucht einige Dateien.

Zunächst Dateien der FTB App. Ob der /bin/-Ordner existiert und die settings.json auslesbar ist. Dann wird geschaut welche Instanzen (von Minecraft) überhaupt in der App angelegt sind. Das sind in meinem Falle 10 Stück. Angefangen bei Vanilla (1.2.5, 1.10.2, 1.19, 1.21.4) zu SkyFactory 3, GTNH zu drei verschiedenen Create-Modpacks. innerhalb dieser Instanzen wird dann nach Crash-Reports und den Log-Dateien geschaut. Für einige der Instanzen ist das recht übersichtlich, da nur die lastest.log und die fünf Debug.log.gz's existieren. Bei ein zwei Instanzen sind aber dutzende Abstürze und durch Modupdates auch Inkompatibilitätsaufzeichnungen als <datum>.log.gz vorhanden.

Und dann spuckt das Tool einen Code aus. Dieser Code beginnt mit dbg:<Buchstabensalat> und ist für FTB nichts anderes als eine Abkürzung zu einem Upload der vorher aufgelisteten Daten. Das Tool läd jede log Datei die es findet hoch. Jeden Crashreport und jede Settings.json. Dabei ist es irrelevant, ob es um die spezifische Instanz geht, andern nur darum das diese Log Dateien im Verzeichnisbaum von der FTB App vorhanden sind. Ob sie dem Supportanliegen dienen oder nicht, ist irrelevant. Das Tool läd die Dateien alle auf pste.me hoch und bündelt die "paste-codes" dieser Uploads dann in einer Datei und läd diese ebenfalls hoch. Alles im Hintergrund, ohne das der Endnutzer gefragt wird, ob er damit einverstanden ist, das seine Daten ins öffentlich einsehbare Internet hochgeladen werden. Ja, klar kann ich auf der Seite nicht nach etwas suchen, aber ich kann in den "Issues" auf GitHub einfach nach der Zeichenfolge "dbg:" suchen und mir so dutzende Dateien wildfremder Menschen anschauen. Datenschutz, was ist das?

Aber wenn man das nicht weiß, sind das nur Buchstabensalate, höre ich da jemanden sagen. udn wenn es 95% der Nutzer nicht Wissen, das ist völlig egal. WEnn unter den 5% die es Wissen nur einer ist, der nicht ganz Koscher mit diesem Wissen umgeht... ich male den Teufel hier nicht an die Wand.

Und ja, das ist der letzte Absatz aus dem letzten Blogpost, nur in Ausführlicher. Man kann eigentlich nur einen Complaint bei dem Information Commissioner's Office machen. Ob's was bringt? Fraglich.

Kopfschüttelnd,

eure Yijare