From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 2 Dec 2020 14:29:02 +0300 From: Vitaly Chikunov To: ALT Linux Team development discussions Message-ID: <20201202112902.ittdxef2lqmcq5di@altlinux.org> References: <20201127101120.3vtyhzgrjxnrs3ij@altlinux.org> <20201127103046.2z7vwleab34j27xh@altlinux.org> <00d6a6e6-7d80-8929-b970-0a147691cfb8@basealt.ru> <2439378.VLH7GnMWUR@zerg.malta.altlinux.ru> <1ed4b857-e8e7-e40d-af8a-8b1c799caad3@basealt.ru> <20201201134034.c9c06c7c726ac51b37900a04@altlinux.org> <20201201121645.php6wd4ry255fnob@altlinux.org> <20201201213120.45066611bba2031ea426fe4c@altlinux.org> <20201202111330.cyvneq2e43dipkqw@altlinux.org> <20201202142132.b9e84e33d32f3396b5c67b3a@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20201202142132.b9e84e33d32f3396b5c67b3a@altlinux.org> Subject: Re: [devel] I: debuginfod.altlinux.org for KDE X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 02 Dec 2020 11:29:02 -0000 Archived-At: List-Archive: List-Post: On Wed, Dec 02, 2020 at 02:21:32PM +0300, Andrey Savchenko wrote: > On Wed, 2 Dec 2020 14:13:30 +0300 Vitaly Chikunov wrote: > > On Tue, Dec 01, 2020 at 09:31:20PM +0300, Andrey Savchenko wrote: > > > On Tue, 1 Dec 2020 15:16:45 +0300 Vitaly Chikunov wrote: > > > > On Tue, Dec 01, 2020 at 01:40:34PM +0300, Andrey Savchenko wrote: > > > > > On Fri, 27 Nov 2020 19:05:11 +0300 Anton Farygin wrote: > > > > > > On 27.11.2020 13:50, Sergey V Turchin wrote: > > > > > > > On Friday, 27 November 2020 13:34:26 MSK Anton Farygin wrote: > > > > > > >> On 27.11.2020 13:30, Vitaly Chikunov wrote: > > > > > > >>> On Fri, Nov 27, 2020 at 01:29:01PM +0300, Anton Farygin wrote: > > > > > > >>>> On 27.11.2020 13:11, Vitaly Chikunov wrote: > > > > > > >>>>> Hi, > > > > > > >>>>> > > > > > > >>>>> В _тестовом_ режиме запущен сервер debuginfod.altlinux.org позволяющий > > > > > > >>>>> (при наличии elfutils 0.182-alt2 и/или gdb 10.1) получать debuginfo > > > > > > >>>>> (DWARF и исходники) для отладки и получения читабельных stack traces без > > > > > > >>>>> инсталляции -debuginfo пакетов. > > > > > > >>>>> > > > > > > >>>>> Как пользоваться: > > > > > > >>>>> $ export DEBUGINFOD_URLS="http://debuginfod.altlinux.org/" > > > > > > >>>> Класс! На него как-то загружаются пакеты ? > > > > > > >>> Он периодически сканирует архив. > > > > > > >>> > > > > > > >>>> Пакеты из бранчей есть ? > > > > > > >>> Есть. > > > > > > >> Спасибо! Очень нужный сервис. > > > > > > >> > > > > > > >> @zerg: можно прикрутить к KDE5 ? > > > > > > > Думаю, да. > > > > > > > > > > > > > Вообще отлично будет, если вы это сделаете по умолчанию для обработки > > > > > > падений. > > > > > > > > > > Т.е. чтоб сегфолтнулось, а потом не пойми что в инет лезло? > > > > > Нет спасибо, из коробки такое не нужно. Это прямая угроза > > > > > безопасности и конфиденциальности. Особенно с точки зрения админа > > > > > системы, а не разработчика такого решения. > > > > > > > > При этом, подобные сервисы работают, например, у Федоры по ~60000 > > > > автоматических багрепортов в сутки: > > > > > > > > Статистика: > > > > https://retrace.fedoraproject.org/faf/summary/ > > > > https://retrace.fedoraproject.org/faf/stats/today/ > > > > > > > > Репорты: > > > > https://retrace.fedoraproject.org/faf/reports/ > > > > > > Федора никак не может являться образцом для подражания в вопросах > > > безопасности. > > > > Я предполагаю, что 98% пользователей хотят нам дать эту информацию > > (анонимизировао, естественно) для улучшения качества репозитория. > > Особенно, для не стабильно бранча, где подразумевается тестирование. > > При этом, понятно, что нельзя такое включать для тех кто категорически > > не хочет. > > Пользователи часто недооценивают серьёзность ситуации. Здесь очень > много каналов утечек: как косвенных, один из которых описан выше, > так и прямых, например, backtrace может содержать части ключей или > иной конфиденциальной информации (по сути дела всё, что аргументы > функции попадёт и не только). > > Поэтому включать из коробки такую функциональность категорически > нельзя. Для продвинутых пользователей, осознающих риски > и последствия, безусловно должен быть способ включить данную > функциональность. Такой подход тождественен тому, что её включать вообще никогда и нигде нельзя. Потому что "продвинутый пользователь" один на миллион и он не будет её включать. А делать систему ради одного пользователя, которому это не нужно - напрасный труд.