> Все бы ничего, но в таковых средах, типа Java/.NET/PHP/whatever ... почему-то находятJava/.NET/PHP - это разве маргинальные языки/платформы? Это угодные индустрии комбайны. Я имел ввиду Erlang, например, или обероны.
> уязвимости, пачками. Колосс получается на глиняных ногах. А общая монструозность таких
Уязвимости там связаны с применением внешних интерфейсов, небезопасным выполнением опкодов, логическими ошибками в методах изоляции привилегированного кода и линковкой с библиотеками на языках с небезопасными типами. То есть, интерфейсы (а ля JNLP) надо использовать, опкоды - внедрить в песочницу, запустить потенциально опасный код или пользоваться foreign-библиотеками (или встроенными функциями). В случае с демоном, написанным на языке под ту же JVM, эти условия в большинстве случаев не соблюдаются, либо их можно несоблюсти намеренно. Попробуйте найти информацию хотя бы об одной уязвимости в этих средах, не связанную с соблюдением одного из выше перечисленных условий.
> сред заведомо гарантирует что там будут кучи багов. ИМХО большой вопрос
Багов, связанных с ошибкой в реализации безопасных типов, там нет (но ничтожную вероятность их наличия я не отрицаю).
> что там дырявее окажется: демон на 10 кило на си, или
> демон на 10 кило на типобезопасном языке + 100 мегов среды
> этого типобезопасного (писаные как правило на все тех же типоопасных сях).
Демон на си будет дырявее. А 100 мегов среды - это зарезервированная динамическая память, библиотеки (которые часто нельзя маппить прямо в память и в таком виде использовать, как секции в том же ELF) и память для JIT-компиляции. По-моему, это безобразие, но вполне терпимое. Хорошие (все они маргинальные) типобезопасные языки от таких недостатков свободны.
>> (как раз они реализованы в PaX и т.п.) для приложений на языках с
>> небезопасными типами, вроде C/C++.
> Хз, почему-то все хотят видеть панацею в таких языках, но по факту
Это не панацея, а средство избавления от классов наиболее серьёзных ошибок.
> - как-то сильно лучше не становится. Ну да, там вместо переполнений
> буферов - sql injection, php includes всякие и т.п.. И даже
> назойливый XSS как оказалось может быть более зловредной штукой чем можно
> самоходное ПО :). В общем старые проблемы решили (если бы :D),
> новых насоздавали.
Вы сейчас опровергаете свои же слова о типобезопасности как панацеи.
> А результаты сообщить не хотите для разных программ?
Хочу, но не помню. Оверхед был крайне незначительный, на уровне погрешности вычислений. Вещи, вроде PaX/MEMORY_SANITIZE в отдельных случаях съедают гораздо больше, и это для нас приемлемо. Регрессий производительности не наблюдается.
> Вообще, звучит разумно.
Кроме того, рост потребности в ресурсах должен прогнозироваться и обеспечиваться материально (докупить железо, провести оптимизацию архитектуры/алгоритмов и т.п.), иначе итогом будет захлёб и простои.