Дистрибутив Debian ввёл в строй новый сервис debuginfod, позволяющий при отладке поставляемых в дистрибутиве программ обойтись без отдельной установки связанных с ними пакетов с отладочной информацией из репозитория debuginfo. Запущенный сервис даёт возможность использовать появившуюся в GDB 10 функциональность динамической загрузки отладочных символов с внешнего сервера непосредственно во время отладки...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54652
Теперь можно закидывать бэкдоры в исходный код онлайн без регистрации.
Не уверен что ты вообще понимаешь что такое отладочная информация и как и где ее используют. Тогда в чем смысл комментирования темы которую ты не понимаешь?
Ну, допустим, он не так уж сильно и не прав.
Если "отладочная информация" будет содержать вполне безобидные таблицу символов, то все норм.
А вот если кроме неё и метаданных будет грузится что-то еще...
И да, не забываем про уязвимости. Дебиановые патчи и кристаллизация в стейбл - это хорошо, но зиродеи тут будут 146%.
> Если "отладочная информация" будет содержать вполне безобидные таблицу символов, то все норм.
> А вот если кроме неё и метаданных будет грузится что-то еще...А ничего, что это проект Debian?
И пользователи этого самого Debian, ещё до любых проектов с отладочной информацией, всю систему себе оттуда же поставили, начиная с ядра?
А вот если...
Предлагаю всем валить на Винду. Больше доверять некому.
Поднять собственный сервер debuginfod на подконтрольном пользователю оборудовании.
ты такой смешной ;))
Просто внимательно прочитав новость, можно понять что сервис введен что бы разработчику руками не ставить дополнительные пакеты. Твой зиродей как албанский вирус.
> Твой зиродей как албанский вирус.Раньше не находили уязвимостей в процах, используя которые даже самый сендбоксовый js-код мог работать зондом похлеще китайского/северокорейского "антивируса". Так что тут ты зря. Я сразу сказал, что он не так уж и не прав. Вероятность компрометации инфраструктуры всегда есть, а уж придумать как это превратить в эксплоит - ну, не мне тебе рассказывать, на ленту посмотри, вся в CVE.
Куда уж мне, давай разъясняй что это и почему это через HTTP.
Если бы ты читал новость, то заметил бы DEBUGINFOD_URLS="https:// ....
> Тогда в чем смысл комментирования темы которую ты не понимаешь?это же форум OpenNET
...вот поэтому и вопрос прямо в нос.
Исторически, обработка отладочной информации никогда не была расчитана на её поступрелние из потенциально враждебных источников. Или, проще говоря, о всевозможных векторах атак и секурности вряд ли кто всерьёз задумывался. Так что перспектива получить в ближайшем будущем серию новостей об уязвимостях в gdb и всём, что рядом, вполне реальна.
http://expedition-electrics.mark-ju.net/images/no_xinput_wra...
Приветствуем Fedora в новых установках Debian.
И куда это будет ставиться? В хомяк? Не, такая идея могла прийти в голову только дебианщикам.
Это что-то типа виндового "SRV*c:\Symbols*http://msdl.microsoft.com/download/symbols"?
да
Удобная штука возможно будет.
Теперь если у пользователя приложение отвалится, можно подгрузить отладочную информацию и уже отправить разработчику полные сведения об ошибке в скомпилированном приложении.
Это не для конечных пользователей. Конечный пользователь и знать не знает ни о каких GDB, так что он максимум отпишется, но не на багзилле, а на форуме, и даст не консольный выхлоп из stripped-программы, а жалобу типа "не работает прога памагити".Так что это для тех, кто целенаправленно дебажит. Но те, кто целенаправленно дебажит, в курсе, что нужно докачивать символы. Правда раньше они это делали правильно, а теперь всё в хомяк, всё в хомяк! Докачаем по пути в хомяк! Чтоб как когда в браузере докачиваешь JS, а здесь будем докачивать символы! Прямиком в хомяк!
У вас какие-то неправильные пользователи. Вот наши, которые в игори на линуксе играют, почему-то и консольный выхлоп и логи могут прислать.
ваши кторые в игоры играют, лет 7 назад играли через xen под виндой и не жужали. Да была просадка 4-7% по io и 3% по cpu, но это мелочи.
Никто ж не заставляет качать. Правильные по старинке будут ставить dbg пакеты, ленивые - качать по необходимости.
Объясняю: потакать лени - это хорошо и правильно, компьютеры для того и изобрели. Но реализация у дебиана получилась govnetso. Возьмем, например, Благословенную Федору (sponsored by Red Hat). При наборе в консоли отсутствующей команды, Федора сходит и докачает ее, нужно только согласиться. И установится пакет с этой командой не куда-нибудь в хомяк, а в правильное место и правильным способом. Ну а здесь почему так не смогли? Какой-то хттп, какой-то принципиально новый способ установить символы параллельно тем, что были установлены правильно.
Миллионы пользователей не отлаживают программы и они весь этот геморрой с установкой символов вертели.
debuginfod - редхатовский проект, есличо. Дебиан лишь свой сервер поднял. Посему и в федоре, и отныне в дебиане можно обойтись без установки dbg пакетов. И если ради одной отладочной сессии что-то качнется в ~/.cache, это можно пережить.
Во ты предыдущему анониму малину то обгадил :)
> Это не для конечных пользователей.И для них в том числе. В перспективе, когда в очередной раз плазма "не упадет", какой-нибудь DrKonqi заботливо скачает отладочные символы откуда надо для создания баг-репорта.
Вот скачаешь ты так гигабайт отладочных символов, просидишь вечер с отладчиком, пришлешь километр логов и ещё кордамп сверху, а тебе в ответ: УМВР, это у тебя в дистрибутиве плохо собирают.
Или просто через 5 лет бездействия закроют баг, потому что по нему не было активности.
> Или просто через 5 лет бездействия закроют баг, потому что по нему не было активности.Haha, classic!
При наличии кордампа и логов у дева - это довольно маловероятно. С другой стороны, дистро может например выгружать тухлую версию - дев уже год как баг починил, а ты ему с винтажной версией. При чем тут он? И таки да, иногда и у дистро случаются косяки - в этом случае мяч перелетает на сторону майнтайнера, и вопросы уже ему.А если баг закрывают по бездействию, тогда как починка нужна, логично живого дева в почте (ирке, ... ) найти.
Поттеринг пошел на второй заход
Не, ему такое не по силам. Он даже home скопировать (cp? не, не слышал)не может, для чего целый homed запилил.
Ты идею создания systemd-homed не понял. cp тут не причём.
Я какраз её понял. А то что это был сорказм не понял ты. Со своей стороны крайне надеюсь что мне никогда не придётся столкнуться с тем что мой home будет насильно дистрибутивом запихнут в эту клоаку. Пока не будут трогать классический home мне глубоко плевать на замарочка с этим homedХотя может и вообще плевать. Почти полностью уже на BSD
Специально для любителей этсамого я люблю в файлы засовывать 0xd или 0xa какие-нибудь. Еще можно посмотреть как скриптота отнесется к файлу с именем вида "abc123 &; echo text | ls 123 > wtf; cat something; sleep 5" (без кавычек). Это не является осмысленным набором действий, сугубо иллюстрация как вызвать в 95% скриптоты жесточайшие фаллауты/UB/security issues.Да, это валидный filename - он может содержать что угодно кроме NULL (aka 0x0) и /
На локалхосте с 1 юзером это может и похрен, а представь что такое трололо попробует человековинтик в том энтерпрайзе, с shared машиной? Для всякой эскалации прав, перевода стрелок на другого пользователя и проч? Это и объясняет почему поцтер занимается тем чем занимается. Наколенщина это прекрасно - но только до первого пентестерообразного.
То есть теперь они будут шпионить за поведением программ онлайн...
Ну конечно, главное чтобы был http головного мозга.Не вижу проблем поставить пакеты с отладочной информацией. Но хомячки с http головного мозга оценят.
Мнээ... а это теперь типа инфоповод? :)
Только http не стоит. Через mitm можно запустить что угодно из-под gdb.
В этом и смысл же
Щигорин известный безопасТник.
Это загрузка символов для отладки если я правильно понимаю. Т.е завтра я деградирую до жиотного и забываю как собирать с отладкой, и тут то мне этот сервис прям бальзамом зальет в гдб. Ничего не упущено ?
Зальёт, конечно. Если предварительно зальёшь свою отладку на сервер.
Не мешайте Поттерингу раздувать systemd. Этот debuginfod неизбежно превратится в systemd-debuginfod.
Генту-животные опять к дебиан-боярам с какими-то сказочными претензиями подъехали.
Надеюсь, скачивание для оффлайн-работы, всё же, будет доступно. А то все эти он-лайн он-деманд тенденции сильно напрягают своим требованием совать в устройство интернет на каждый пук.
Оно не для того, чтобы постоянно отлаживать. Оно на те случаи, когда отладка системной библиотеке нужна раз в год или реже. Ради такого ты не будешь ставить отладочные символы на каждый пакет в системе -- 99% установленных отладочных символов не понадобятся никогда. В генте приходится ставить, вот ради таких редких случаев ставить отладочные символы для всего-всего, чтобы когда заловишь баг, его можно было бы начинать отлаживать без пересборки нескольких пакетов: пересборка мало того, что отвлекает, так ещё и может устранить баг, по разным причинам: может у тебя с тех пор компилятор обновился, может в глобальные USE ты внёс изменения, может версия пакета другая и баг при других условиях проявляется, может ещё что-то. Здесь же, ты не делая ничего может приаттачиться к любому запущенному процессу, подгрузить отладочные символы и начать ковырять. Очень удобно. Но для этого надо тысячи файликов с отладочными символами хранить.Но в генте иначе и никак, потому как вся отладочная информация актуальна только для твоего world. А в дебиане, где бинарные пакеты, и отладочная информация актуальна для более широкого применения, можно лучше.
1) А какие собственно майнтайнеру проблемы дебажные символы в отдельный пакет сложить? Это ж не ручками надо, а автоматика.
2) Если у вас нет этой автоматики - ну, да, поганая у вас система, что тут скажешь.
3) При установке через пакетный менеджер, как в том же дебиане, срач в системе хотя-бы трекается. И может быть удобно выпилен когда более не требуется.
4) А у гентушников в системе вообще помойка. Так, по жизни. Не система а полуразрушенный очередным взрывом ядерный полигон. Так что уж не гентушникам, имхо, вещать как делать правильно. У вас там столько прикольных failure modes которых в дебиане просто нет, что слушать ваши заявления о продакшне имхо не стоит.
Мэйнтейнер. Пиши правильно.
> 1) А какие собственно майнтайнеру проблемы дебажные символы в отдельный пакет сложить?
> Это ж не ручками надо, а автоматика.А разве они не сложены уже?
> 2) Если у вас нет этой автоматики - ну, да, поганая у
> вас система, что тут скажешь.Как эта система угадает, какие отладочные символы понадобятся, а какие нет, чтобы не ставить все сразу?
> 3) При установке через пакетный менеджер, как в том же дебиане, срач
> в системе хотя-бы трекается. И может быть удобно выпилен когда более
> не требуется.О, а здесь вообще никакого срача: отладочные символы загружаются отладчиком на время использования. Я не знаю, может он сохраняет их в где-нибудь в ~/.gdb-cache, может не сохраняет, но даже если сохраняет, его легко выпилить, когда не требуется.
> 4) А у гентушников в системе вообще помойка. Так, по жизни. Не
> система а полуразрушенный очередным взрывом ядерный полигон. Так что уж не
> гентушникам, имхо, вещать как делать правильно. У вас там столько прикольных
> failure modes которых в дебиане просто нет, что слушать ваши заявления
> о продакшне имхо не стоит.Тут ты потерял нить беседы и перешёл к холивару против генты.
Отличная идея при тестировании систем особенно в распределенке отличная штука. Правда некоторые коммерческие компании уже решили этот вопрос, так что немного поздно Debian это сделал.