From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 2 Dec 2020 14:35:44 +0300 From: Vitaly Chikunov To: ALT Linux Team development discussions Message-ID: <20201202113544.w7l6ytbodhsgizcs@altlinux.org> References: <00d6a6e6-7d80-8929-b970-0a147691cfb8@basealt.ru> <2439378.VLH7GnMWUR@zerg.malta.altlinux.ru> <1ed4b857-e8e7-e40d-af8a-8b1c799caad3@basealt.ru> <20201201134034.c9c06c7c726ac51b37900a04@altlinux.org> <20201201121645.php6wd4ry255fnob@altlinux.org> <20201201213120.45066611bba2031ea426fe4c@altlinux.org> <20201202111330.cyvneq2e43dipkqw@altlinux.org> <20201202142132.b9e84e33d32f3396b5c67b3a@altlinux.org> <20201202112902.ittdxef2lqmcq5di@altlinux.org> <20201202143206.03ac1a73cd352ac517608eb3@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20201202143206.03ac1a73cd352ac517608eb3@altlinux.org> Subject: Re: [devel] I: debuginfod.altlinux.org for KDE X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 02 Dec 2020 11:35:45 -0000 Archived-At: List-Archive: List-Post: On Wed, Dec 02, 2020 at 02:32:06PM +0300, Andrey Savchenko wrote: > > > > > Федора никак не может являться образцом для подражания в вопросах > > > > > безопасности. > > > > > > > > Я предполагаю, что 98% пользователей хотят нам дать эту информацию > > > > (анонимизировао, естественно) для улучшения качества репозитория. > > > > Особенно, для не стабильно бранча, где подразумевается тестирование. > > > > При этом, понятно, что нельзя такое включать для тех кто категорически > > > > не хочет. > > > > > > Пользователи часто недооценивают серьёзность ситуации. Здесь очень > > > много каналов утечек: как косвенных, один из которых описан выше, > > > так и прямых, например, backtrace может содержать части ключей или > > > иной конфиденциальной информации (по сути дела всё, что аргументы > > > функции попадёт и не только). > > > > > > Поэтому включать из коробки такую функциональность категорически > > > нельзя. Для продвинутых пользователей, осознающих риски > > > и последствия, безусловно должен быть способ включить данную > > > функциональность. > > > > Такой подход тождественен тому, что её включать вообще никогда и нигде > > нельзя. Потому что "продвинутый пользователь" один на миллион и он не > > будет её включать. А делать систему ради одного пользователя, которому > > это не нужно - напрасный труд. > > В таком случае её не следует делать. > > Аргумент, что пользователи должны жертвовать своей безопасностью > и конфиденциальностью потому, что разработчики затратили ресурсы > и время на создание сервиса — неприемлемый. Система сбора багрепортов скорее всего делается не для того, чтоб разработчики затратили ресурсы и время.