[devel] I: debuginfod.altlinux.org

[Alexey V. Vissarionov]

On 2020-11-27 19:57:58 +0300, Vitaly Chikunov wrote:

 >>>> И ещё вопрос: есть ли какая-то защита от MITM?
 >>> Сейчас можно сделать:
 >>> export DEBUGINFOD_URLS="https://debuginfod.altlinux.org/"
 >>> Потом http:// для debuginfod API будет отключен, а со
 >>> странички с информацией будет редирект на https.
 >> Может, лучше подписи пакетов проверять? Один раз запускаем
 >> rpmsign, а потом спокойно раздаем хоть по HTTP, хоть по FTP,
 >> хоть вообще на забор вывешиваем...
 >> Ибо MitM для HTTPS реален (хотя и не общедоступен) вот уже
 >> не первый десяток лет...
 > В debuginfod протоколе приезжает не весь RPM пакет, а только
 > .debug бинарник соответствующий build-id стрипнутого бинарника.

А они где-то заранее сгенерированы или всякий раз выдергиваются
из debuginfo-пакетов?

В первом случае их опять же можно подписать (gpg --detach-sign)
и скачивать оба файла (.debug и .debug.gpg), а во втором, думаю,
надо менять концепцию и генерировать эти файлы заранее - заодно
появится возможность их зеркалить и использовать локальную копию
(а то и anycast). Иначе, боюсь, никаких ресурсов не хватит.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net