From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vt@altlinux.org>
Date: Sun, 29 Nov 2020 12:51:17 +0300
From: Vitaly Chikunov <vt@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Message-ID: <20201129095117.fbun5lmoc6ozyflj@altlinux.org>
References: <20201127101120.3vtyhzgrjxnrs3ij@altlinux.org>
 <20201127102311.GA3543250@portlab>
 <20201127154438.2w6mcumnuueupfcq@altlinux.org>
 <20201127161041.GF20212@altlinux.org>
 <20201127165758.fypf5x4qrkngj6ef@altlinux.org>
 <20201127173128.GG20212@altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20201127173128.GG20212@altlinux.org>
Subject: Re: [devel] I: debuginfod.altlinux.org
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sun, 29 Nov 2020 09:51:17 -0000
Archived-At: <http://lore.altlinux.org/devel/20201129095117.fbun5lmoc6ozyflj@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On Fri, Nov 27, 2020 at 08:31:28PM +0300, Alexey V. Vissarionov wrote:
> On 2020-11-27 19:57:58 +0300, Vitaly Chikunov wrote:
> 
>  >>>> И ещё вопрос: есть ли какая-то защита от MITM?
>  >>> Сейчас можно сделать:
>  >>> export DEBUGINFOD_URLS="https://debuginfod.altlinux.org/"
>  >>> Потом http:// для debuginfod API будет отключен, а со
>  >>> странички с информацией будет редирект на https.
>  >> Может, лучше подписи пакетов проверять? Один раз запускаем
>  >> rpmsign, а потом спокойно раздаем хоть по HTTP, хоть по FTP,
>  >> хоть вообще на забор вывешиваем...
>  >> Ибо MitM для HTTPS реален (хотя и не общедоступен) вот уже
>  >> не первый десяток лет...
>  > В debuginfod протоколе приезжает не весь RPM пакет, а только
>  > .debug бинарник соответствующий build-id стрипнутого бинарника.
> 
> А они где-то заранее сгенерированы или всякий раз выдергиваются
> из debuginfo-пакетов?

Всякий раз. Архив занимает многие терабайты места. Уже скачанный бинарик
не перескачивается, а лежит в ~/.cache/debuginfod_client/.

> 
> В первом случае их опять же можно подписать (gpg --detach-sign)
> и скачивать оба файла (.debug и .debug.gpg), а во втором, думаю,
> надо менять концепцию и генерировать эти файлы заранее - заодно
> появится возможность их зеркалить и использовать локальную копию
> (а то и anycast). Иначе, боюсь, никаких ресурсов не хватит.

По изменению протокола, видимо, нужно писать в Редхат.

> 
> 
> -- 
> Alexey V. Vissarionov
> gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
> GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel