[devel] I: debuginfod.altlinux.org
Vitaly Chikunov
vt на altlinux.org
Вс Ноя 29 12:51:17 MSK 2020
On Fri, Nov 27, 2020 at 08:31:28PM +0300, Alexey V. Vissarionov wrote:
> On 2020-11-27 19:57:58 +0300, Vitaly Chikunov wrote:
>
> >>>> И ещё вопрос: есть ли какая-то защита от MITM?
> >>> Сейчас можно сделать:
> >>> export DEBUGINFOD_URLS="https://debuginfod.altlinux.org/"
> >>> Потом http:// для debuginfod API будет отключен, а со
> >>> странички с информацией будет редирект на https.
> >> Может, лучше подписи пакетов проверять? Один раз запускаем
> >> rpmsign, а потом спокойно раздаем хоть по HTTP, хоть по FTP,
> >> хоть вообще на забор вывешиваем...
> >> Ибо MitM для HTTPS реален (хотя и не общедоступен) вот уже
> >> не первый десяток лет...
> > В debuginfod протоколе приезжает не весь RPM пакет, а только
> > .debug бинарник соответствующий build-id стрипнутого бинарника.
>
> А они где-то заранее сгенерированы или всякий раз выдергиваются
> из debuginfo-пакетов?
Всякий раз. Архив занимает многие терабайты места. Уже скачанный бинарик
не перескачивается, а лежит в ~/.cache/debuginfod_client/.
>
> В первом случае их опять же можно подписать (gpg --detach-sign)
> и скачивать оба файла (.debug и .debug.gpg), а во втором, думаю,
> надо менять концепцию и генерировать эти файлы заранее - заодно
> появится возможность их зеркалить и использовать локальную копию
> (а то и anycast). Иначе, боюсь, никаких ресурсов не хватит.
По изменению протокола, видимо, нужно писать в Редхат.
>
>
> --
> Alexey V. Vissarionov
> gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
> GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
> _______________________________________________
> Devel mailing list
> Devel на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
Подробная информация о списке рассылки Devel