[devel] I: debuginfod.altlinux.org for KDE

[Vitaly Chikunov]

On Wed, Dec 02, 2020 at 02:32:06PM +0300, Andrey Savchenko wrote:
> > > > > Федора никак не может являться образцом для подражания в вопросах
> > > > > безопасности.
> > > > 
> > > > Я предполагаю, что 98% пользователей хотят нам дать эту информацию
> > > > (анонимизировао, естественно) для улучшения качества репозитория.
> > > > Особенно, для не стабильно бранча, где подразумевается тестирование.
> > > > При этом, понятно, что нельзя такое включать для тех кто категорически
> > > > не хочет.
> > > 
> > > Пользователи часто недооценивают серьёзность ситуации. Здесь очень
> > > много каналов утечек: как косвенных, один из которых описан выше,
> > > так и прямых, например, backtrace может содержать части ключей или
> > > иной конфиденциальной информации (по сути дела всё, что аргументы
> > > функции попадёт и не только).
> > > 
> > > Поэтому включать из коробки такую функциональность категорически
> > > нельзя. Для продвинутых пользователей, осознающих риски
> > > и последствия, безусловно должен быть способ включить данную
> > > функциональность.
> > 
> > Такой подход тождественен тому, что её включать вообще никогда и нигде
> > нельзя. Потому что "продвинутый пользователь" один на миллион и он не
> > будет её включать. А делать систему ради одного пользователя, которому
> > это не нужно - напрасный труд.
> 
> В таком случае её не следует делать.
> 
> Аргумент, что пользователи должны жертвовать своей безопасностью
> и конфиденциальностью потому, что разработчики затратили ресурсы
> и время на создание сервиса — неприемлемый.

Система сбора багрепортов скорее всего делается не для того, чтоб
разработчики затратили ресурсы и время.