[devel] I: debuginfod.altlinux.org for KDE

[Andrey Savchenko]

On Wed, 2 Dec 2020 14:13:30 +0300 Vitaly Chikunov wrote:
> On Tue, Dec 01, 2020 at 09:31:20PM +0300, Andrey Savchenko wrote:
> > On Tue, 1 Dec 2020 15:16:45 +0300 Vitaly Chikunov wrote:
> > > On Tue, Dec 01, 2020 at 01:40:34PM +0300, Andrey Savchenko wrote:
> > > > On Fri, 27 Nov 2020 19:05:11 +0300 Anton Farygin wrote:
> > > > > On 27.11.2020 13:50, Sergey V Turchin wrote:
> > > > > > On Friday, 27 November 2020 13:34:26 MSK Anton Farygin wrote:
> > > > > >> On 27.11.2020 13:30, Vitaly Chikunov wrote:
> > > > > >>> On Fri, Nov 27, 2020 at 01:29:01PM +0300, Anton Farygin wrote:
> > > > > >>>> On 27.11.2020 13:11, Vitaly Chikunov wrote:
> > > > > >>>>> Hi,
> > > > > >>>>>
> > > > > >>>>> В _тестовом_ режиме запущен сервер debuginfod.altlinux.org позволяющий
> > > > > >>>>> (при наличии elfutils 0.182-alt2 и/или gdb 10.1) получать debuginfo
> > > > > >>>>> (DWARF и исходники) для отладки и получения читабельных stack traces без
> > > > > >>>>> инсталляции -debuginfo пакетов.
> > > > > >>>>>
> > > > > >>>>> Как пользоваться:
> > > > > >>>>>      $ export DEBUGINFOD_URLS="http://debuginfod.altlinux.org/"
> > > > > >>>> Класс! На него как-то загружаются пакеты ?
> > > > > >>> Он периодически сканирует архив.
> > > > > >>>
> > > > > >>>> Пакеты из бранчей есть ?
> > > > > >>> Есть.
> > > > > >> Спасибо! Очень нужный сервис.
> > > > > >>
> > > > > >> @zerg: можно прикрутить к KDE5 ?
> > > > > > Думаю, да.
> > > > > >
> > > > > Вообще отлично будет, если вы это сделаете по умолчанию для обработки 
> > > > > падений.
> > > > 
> > > > Т.е. чтоб сегфолтнулось, а потом не пойми что в инет лезло?
> > > > Нет спасибо, из коробки такое не нужно. Это прямая угроза
> > > > безопасности и конфиденциальности. Особенно с точки зрения админа
> > > > системы, а не разработчика такого решения.
> > > 
> > > При этом, подобные сервисы работают, например, у Федоры по ~60000
> > > автоматических багрепортов в сутки:
> > > 
> > >   Статистика:
> > >   https://retrace.fedoraproject.org/faf/summary/
> > >   https://retrace.fedoraproject.org/faf/stats/today/
> > > 
> > >   Репорты:
> > >   https://retrace.fedoraproject.org/faf/reports/
> > 
> > Федора никак не может являться образцом для подражания в вопросах
> > безопасности.
> 
> Я предполагаю, что 98% пользователей хотят нам дать эту информацию
> (анонимизировао, естественно) для улучшения качества репозитория.
> Особенно, для не стабильно бранча, где подразумевается тестирование.
> При этом, понятно, что нельзя такое включать для тех кто категорически
> не хочет.

Пользователи часто недооценивают серьёзность ситуации. Здесь очень
много каналов утечек: как косвенных, один из которых описан выше,
так и прямых, например, backtrace может содержать части ключей или
иной конфиденциальной информации (по сути дела всё, что аргументы
функции попадёт и не только).

Поэтому включать из коробки такую функциональность категорически
нельзя. Для продвинутых пользователей, осознающих риски
и последствия, безусловно должен быть способ включить данную
функциональность.

Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20201202/95330f86/attachment.bin>