From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: devel@lists.altlinux.org References: <20201127101120.3vtyhzgrjxnrs3ij@altlinux.org> <20201127102311.GA3543250@portlab> <20201127154438.2w6mcumnuueupfcq@altlinux.org> <20201127161041.GF20212@altlinux.org> <20201127165758.fypf5x4qrkngj6ef@altlinux.org> <20201127173128.GG20212@altlinux.org> <20201129095117.fbun5lmoc6ozyflj@altlinux.org> <20201130044508.GH20212@altlinux.org> <20201130060702.t5lka5ba35qcqwkm@altlinux.org> <20201130064116.GJ20212@altlinux.org> From: Denis Medvedev Message-ID: <71f4351d-ca66-c34c-de7e-ab829a25ef00@altlinux.org> Date: Mon, 30 Nov 2020 15:29:23 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Thunderbird/78.4.0 MIME-Version: 1.0 In-Reply-To: <20201130064116.GJ20212@altlinux.org> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: en-US Subject: Re: [devel] I: debuginfod.altlinux.org X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 30 Nov 2020 12:29:14 -0000 Archived-At: List-Archive: List-Post: On 11/30/20 9:41 AM, Alexey V. Vissarionov wrote: > On 2020-11-30 09:07:02 +0300, Vitaly Chikunov wrote: > >> Хотя насчет "никаких ресурсов не хватит" я, возможно, был > >> излишне пессимистичен: что debuginfo-пакеты, что куски их > >> содержимого бывают нужны пренебрежимо редко, и даже одного > >> сервера для них может быть вполне достаточно. > > Я смотрел статистику запросов по известным debuginfod серверам > > (на сайте elfutils он есть[0]) неделю назад. > > - К сожалению, основной агрегатор - debuginfod.elfutils.org > > перезапустили и статистика обнулилась (сейчас там сказано, > > что было 6150 debuginfo запросов - можно будет сравнить через > > неделю). > > - На debuginfod.opensuse.org 24 ноября было 10555 запросов к > > debuginfo, а сейчас (почти через неделю) 22292. То есть, у > > openSUSE примерно по 10000 запросов в неделю (а там один лишь > > Tumbleweed). > > В первом приближении - один запрос в минуту (в неделе 10080 минут). > > Это вообще ни о чем: дернули пакет, неспешно распотрошили, отдали > файлы (еще и подписать можно успеть), и после всего этого осталось > время поспать до следующего запроса. > > >> Но подпись файла заведомо лучше любой защиты канала. > > ps. Кстати, если бы мы поддерживали IMA подписи в rpm, то было > > бы логично их добавлять в http хедерах к отдаваемым файлам и > > легко можно было бы их проверить на клиенте. По-моему эти > > подписи сейчас никто (ни один дистрибутив) не генерирует, > > хотя поддержка в rpm есть. > > Мысль интересная. Надо бы ее подумать. > > В BigSur уже подумали... вой раздался на весь мир... Думайте не только о подписывании, но и о распределении ключей и отзыве ключей тоже. И о denial of service от отсутствия возможности проверки подписей.