https://www.opennet.ru/openforum/vsluhforumID3/123379.html Дистрибутив Debian ввёл в строй новый сервис debuginfod, позволяющий при отладке поставляемых в дистрибутиве программ обойтись без отдельной установки связанных с ними пакетов с отладочной информацией из репозитория debuginfo. Запущенный сервис даёт возможность использовать появившуюся в GDB 10 функциональность динамической загрузки отладочных символов с внешнего сервера непосредственно во время отладки...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54652<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#53 Sun, 28 Feb 2021 11:27:13 GMT &gt; 1) А какие собственно майнтайнеру проблемы дебажные символы в отдельный пакет сложить? <br>&gt; Это ж не ручками надо, а автоматика.<br><br>А разве они не сложены уже?<br><br>&gt; 2) Если у вас нет этой автоматики - ну, да, поганая у <br>&gt; вас система, что тут скажешь.<br><br>Как эта система угадает, какие отладочные символы понадобятся, а какие нет, чтобы не ставить все сразу?<br><br>&gt; 3) При установке через пакетный менеджер, как в том же дебиане, срач <br>&gt; в системе хотя-бы трекается. И может быть удобно выпилен когда более <br>&gt; не требуется.<br><br>О, а здесь вообще никакого срача: отладочные символы загружаются отладчиком на время использования. Я не знаю, может он сохраняет их в где-нибудь в ~/.gdb-cache, может не сохраняет, но даже если сохраняет, его легко выпилить, когда не требуется.<br><br>&gt; 4) А у гентушников в системе вообще помойка. Так, по жизни. Не <br>&gt; система а полуразрушенный очередным взрывом ядерный полигон. Так что уж не <br>&gt; гентушникам, имхо, вещать как делать правильно. У вас там столько прикольных <br>&gt; failure modes которы https://www.opennet.ru/openforum/vsluhforumID3/123379.html#52 Sun, 28 Feb 2021 04:13:09 GMT Мэйнтейнер. Пиши правильно.<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#51 Sat, 27 Feb 2021 21:41:55 GMT При наличии кордампа и логов у дева - это довольно маловероятно. С другой стороны, дистро может например выгружать тухлую версию - дев уже год как баг починил, а ты ему с винтажной версией. При чем тут он? И таки да, иногда и у дистро случаются косяки - в этом случае мяч перелетает на сторону майнтайнера, и вопросы уже ему.<br><br>А если баг закрывают по бездействию, тогда как починка нужна, логично живого дева в почте (ирке, ... ) найти.<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#50 Sat, 27 Feb 2021 21:33:11 GMT Во ты предыдущему анониму малину то обгадил :)<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#49 Sat, 27 Feb 2021 20:47:51 GMT Специально для любителей этсамого я люблю в файлы засовывать 0xd или 0xa какие-нибудь. Еще можно посмотреть как скриптота отнесется к файлу с именем вида "abc123 &; echo text &#124; ls 123 &gt; wtf; cat something; sleep 5" (без кавычек). Это не является осмысленным набором действий, сугубо иллюстрация как вызвать в 95% скриптоты жесточайшие фаллауты/UB/security issues.<br><br>Да, это валидный filename - он может содержать что угодно кроме NULL (aka 0x0) и /<br><br>На локалхосте с 1 юзером это может и похрен, а представь что такое трололо попробует человековинтик в том энтерпрайзе, с shared машиной? Для всякой эскалации прав, перевода стрелок на другого пользователя и проч? Это и объясняет почему поцтер занимается тем чем занимается. Наколенщина это прекрасно - но только до первого пентестерообразного.<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#48 Sat, 27 Feb 2021 20:38:35 GMT Щигорин известный безопасТник.<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#47 Sat, 27 Feb 2021 20:37:02 GMT 1) А какие собственно майнтайнеру проблемы дебажные символы в отдельный пакет сложить? Это ж не ручками надо, а автоматика.<br>2) Если у вас нет этой автоматики - ну, да, поганая у вас система, что тут скажешь.<br>3) При установке через пакетный менеджер, как в том же дебиане, срач в системе хотя-бы трекается. И может быть удобно выпилен когда более не требуется.<br>4) А у гентушников в системе вообще помойка. Так, по жизни. Не система а полуразрушенный очередным взрывом ядерный полигон. Так что уж не гентушникам, имхо, вещать как делать правильно. У вас там столько прикольных failure modes которых в дебиане просто нет, что слушать ваши заявления о продакшне имхо не стоит.<br> https://www.opennet.ru/openforum/vsluhforumID3/123379.html#45 Fri, 26 Feb 2021 16:47:11 GMT Оно не для того, чтобы постоянно отлаживать. Оно на те случаи, когда отладка системной библиотеке нужна раз в год или реже. Ради такого ты не будешь ставить отладочные символы на каждый пакет в системе -- 99% установленных отладочных символов не понадобятся никогда. В генте приходится ставить, вот ради таких редких случаев ставить отладочные символы для всего-всего, чтобы когда заловишь баг, его можно было бы начинать отлаживать без пересборки нескольких пакетов: пересборка мало того, что отвлекает, так ещё и может устранить баг, по разным причинам: может у тебя с тех пор компилятор обновился, может в глобальные USE ты внёс изменения, может версия пакета другая и баг при других условиях проявляется, может ещё что-то. Здесь же, ты не делая ничего может приаттачиться к любому запущенному процессу, подгрузить отладочные символы и начать ковырять. Очень удобно. Но для этого надо тысячи файликов с отладочными символами хранить.<br><br>Но в генте иначе и никак, потому как вся отладочная информация актуальна только для https://www.opennet.ru/openforum/vsluhforumID3/123379.html#44 Fri, 26 Feb 2021 14:16:05 GMT &gt; Твой зиродей как албанский вирус.<br><br>Раньше не находили уязвимостей в процах, используя которые даже самый сендбоксовый js-код мог работать зондом похлеще китайского/северокорейского "антивируса". Так что тут ты зря. Я сразу сказал, что он не так уж и не прав. Вероятность компрометации инфраструктуры всегда есть, а уж придумать как это превратить в эксплоит - ну, не мне тебе рассказывать, на ленту посмотри, вся в CVE.<br>