![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
wizzardеще раз убедился, что софт, претендующий на сколько-нибудь надежность (при больших размерах codebase) писать на С/C++ не стоит.
См. красиво и детально описанный срач на http://avva.livejournal.com/2323823.html, а также коммент http://avva.livejournal.com/2323823.html?thread=78031215#t78031215
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
justy-tylor.livejournal.com - (no subject)wizzard - (no subject)http://users.livejournal.com/_windwalker_/ - (no subject)justy-tylor.livejournal.com - (no subject)bik-top.livejournal.com - (no subject)aka-rider.livejournal.com - (no subject)aka-rider.livejournal.com - (no subject)cd-riper.livejournal.com - (no subject)mata.livejournal.com - (no subject)belnetmon.livejournal.com - (no subject)kunaifusu.livejournal.com - (no subject)dmitri-pavlov.livejournal.com - (no subject)ti-ua.livejournal.com - (no subject)wizzard - (no subject)dev-zzo.livejournal.com - (no subject)bik-top.livejournal.com - Ассерты и проверки *принципиально* отличаютсяaka-rider.livejournal.com - Re: Ассерты и проверки *принципиально* отличаютсяhttp://users.livejournal.com/_winnie/ - Re: Ассерты и проверки *принципиально* отличаютсяwizzard - (no subject)timeasmymeasure
no subject
Date: 2011-03-29 09:36 pm (UTC)no subject
Date: 2011-03-29 10:28 pm (UTC)no subject
Date: 2011-03-29 11:04 pm (UTC)no subject
Date: 2011-03-29 11:15 pm (UTC)И проблема с glibc/memcpy это тоже люди. Которые пишут библиотеки, компиляторы, виртуальные машины, и ещё много чего для разных языков. Хотя лучше бы ничего не писали.
no subject
Date: 2011-03-29 11:40 pm (UTC)По-моему, описанная проблема C/C++-независима. Что не опровергает твоего вывода :)
По сабжу: имхо, разработчики libc должны волевым решением «пропатчить» (дополнить, ужесточить) свою спецификацию, закрепив де-юро в ней те предположения, на которые закладываются де-факто многие разработчики. Такой патч стандарта не будет ломающим, т.е. код тех разработчиков, которые использовали официальную спецификацию (в частности, не закладывались на неопределённое поведение), не перестанет ей удовлетворять.
Далее, если самим разработчикам libc так уж необходим оптимизированный вариант, заводят свою «приватную» (насколько это достижимо в Си) версию функции
memcpy, которая выбирает стратегию копирования в зависимости от архитектуры и не выполняет проверок (они всегда могут переложить гарантию удовлетворения предусловий на вызывающую сторону, так как это они сами и есть). И пусть используют эту версию в хвост и в гриву. Если хотят предоставить доступ к подобной оптимизации публике, делают ещё одну (нестандартную) версию безопасной функцииmemmoveс проверкой аргументов и вызовомprivate_memcpy_optimized_unsafe.no subject
Date: 2011-03-30 12:10 am (UTC)no subject
Date: 2011-03-30 12:22 am (UTC)Кстати, пример очень хороший: по факту баг же во флеше :)
no subject
Date: 2011-03-30 04:05 am (UTC)кэп утверждает, что нет такого языка.
есть С и есть C++, два языка совершенно разного уровня.
no subject
Date: 2011-03-30 04:08 am (UTC)хотя мне кажется ребята из Intel зря оптимизировали, выигрыш если и не сомнительный то совсем небольшой а шуму вон сколько поднялось :)
no subject
Date: 2011-03-30 04:34 am (UTC)no subject
Date: 2011-03-30 04:56 am (UTC)Стандартные библиотеки - для примеров в книжках и студентам лабы писать. "Оптимизировать" их вообще за гранью добра и зла - они бы еще printf соптимизировали чтобы он в два раза больше буков печатал.
Пример вообще не про пойнтеры, а про то, что будет с языками, у которых билиотеки в 1000 раз больше чем у С и все стандартные, когда они доживут до возраста С.
no subject
Date: 2011-03-30 05:10 am (UTC)no subject
Date: 2011-03-30 06:41 am (UTC)no subject
Date: 2011-03-30 07:26 am (UTC)no subject
Date: 2011-03-30 07:51 am (UTC)Серьёзно. Для эмбеда и многих других случаев альтернатив совсем немного.
Ассерты и проверки *принципиально* отличаются
Date: 2011-03-30 07:54 am (UTC)Нет. Аргументы, приходящие извне, нужно полноценно проверять. Ассертить можно аргументы «приватных» функций, контекст вызова которых полностью контролируется «ассертящей стороной». Условно говоря (на C#):
// Метод API, вызов которого нельзя контролировать (аргументы приходят из «недоверенной зоны»). public void Foo(int x) { // Проверка на usage error. if (x < 0) throw new ArgumentOutOfRangeException(...); FooUnsafe(x); } // Метод реализации, вызов которого осуществляют только авторы библиотеки (аргументы приходят из «доверенной зоны»). private void FooUnsafe(int x) { // Проверка на logic error. Debug.Assert(x < 0, ...); ... }Если падает первая проверка, значит виноват пользователь. Исправление будет в пользовательском коде, в месте вызова.
Если падает вторая проверка, значит виновата библиотека. Исправление должно быть в библиотечном коде.
В своём коде разработчики библиотеки не вызывают публичный метод — зачем им внутри функции повторно проверять аргументы, когда они должны обеспечить их корректность по построению?
Re: Ассерты и проверки *принципиально* отличаются
Date: 2011-03-30 03:33 pm (UTC)Я имел в виду, что в случае с memcpy аргументы по сути корректные.
Re: Ассерты и проверки *принципиально* отличаются
Date: 2011-03-31 01:36 pm (UTC)no subject
Date: 2011-04-09 12:08 am (UTC)An apparently harmless refactoring of code in Google’s Native Client introduced an undefined behavior that subverted the fundamental sandboxing guarantee. This is pernicious because the (flawed) check is sitting right there in the source code, it is only in the compiler output that the check is a nop. If their regression tests used our tester, this problem would have almost certainly been caught right away. (http://blog.regehr.org/archives/508)
no subject
Date: 2011-04-09 01:58 am (UTC)