forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в стандартной библиотеке языка Rust"
Отправлено Аноним, 25-Янв-22 05:56

>Но ведь и в плюсах, есть похожие средства для корректной работы с памятью(умные указатели и т.д).
Они замедляют работу С++ программы, тогда как в Rust они задуманы изначально. Самый базовый пример unique_ptr: https://youtu.be/rHIkrotSwcc?t=1136
Rust - https://rust.godbolt.org/z/Ed69aKqah (unsafe тут только для FFI, чтобы код не соптимизировался в ноль. Он роли не играет.)
C++ - https://cpp.godbolt.org/z/frs671a6q
>Плюс, никто вам не мешает использовать различного вида анализаторы, санитайзеры и прочую полезную ересь.
Они не дают 100% гарантии. Примеры есть у Microsoft и Google Chrome, которые заявляют официально что у них в коде 75% и 70% CVE соответственно вызваны некорректной работой с паматью.
>Просто в плюсах это идет как опция, а в расте как необходимость, которая ограничивает свободу программиста.
Я смотрю на это иначе - языковыми средствами обеспечивается работа в рамках, которые сами на себя накладывают программисты С и С+, если хотят писать современный код. Только программистам С и С++ чтобы писать подобный код нужно долго учиться на своих ошибках и держать все в голове даже во время работы, когда компилятор Rust эту низкоуровневую (в современных реалиях) работу проделает за них.
В тех случаях когда требуется борее гибкое поведение есть unsafe. Есть также и макросы, позволяющие писать ассемблерные вставки. Естественно никаких гарантий от компилятора в таких вставках обеспечиваться не будет. С другой стороны все такие вставки можно пересчитать и перепроверить при аудите. Но в С и С++ весь код - unsafe.
>Раст - это продукт от корпорации для корпораций, чтобы макаки писали хотя бы полурабочий софт быстро и за малые деньги. Это не то, на что стоит обращать внимание свободным людям,
Корпорации на раст обратили внимание всего год назад, после того как его пять лет признавали самым популярным языком на StackOverflow.
Они хотят использовать Rust в работе, и потому поддерживают его. Также как они используют С и С++, и потому поддерживают их разработку тоже. И ядро Linux и много других полезных продуктов.
>потому что есть куда более удачные реализации конкурентов в области системного программирования.
В чем они более удачны чем Rust? Пора уже переходить на следующий этап - ты показываешь пример кода на godbolt.org, выхлоп ассемблера. Мы вместе смотрим и сравниваем это с реализацией на Rust. Чтобы читающие могли сами сравнить где более удачная реализация. Как например с unique_ptr C++. А пока это всего лишь слова. Rust это уже рабочий инструмент, который во многом превосходит существующие.

Исходное сообщение
"Уязвимость в стандартной библиотеке языка Rust" Отправлено Аноним, 25-Янв-22 05:56
>Но ведь и в плюсах, есть похожие средства для корректной работы с памятью(умные указатели и т.д). Они замедляют работу С++ программы, тогда как в Rust они задуманы изначально. Самый базовый пример unique_ptr: https://youtu.be/rHIkrotSwcc?t=1136 Rust - https://rust.godbolt.org/z/Ed69aKqah (unsafe тут только для FFI, чтобы код не соптимизировался в ноль. Он роли не играет.) C++ - https://cpp.godbolt.org/z/frs671a6q >Плюс, никто вам не мешает использовать различного вида анализаторы, санитайзеры и прочую полезную ересь. Они не дают 100% гарантии. Примеры есть у Microsoft и Google Chrome, которые заявляют официально что у них в коде 75% и 70% CVE соответственно вызваны некорректной работой с паматью. >Просто в плюсах это идет как опция, а в расте как необходимость, которая ограничивает свободу программиста. Я смотрю на это иначе - языковыми средствами обеспечивается работа в рамках, которые сами на себя накладывают программисты С и С+, если хотят писать современный код. Только программистам С и С++ чтобы писать подобный код нужно долго учиться на своих ошибках и держать все в голове даже во время работы, когда компилятор Rust эту низкоуровневую (в современных реалиях) работу проделает за них. В тех случаях когда требуется борее гибкое поведение есть unsafe. Есть также и макросы, позволяющие писать ассемблерные вставки. Естественно никаких гарантий от компилятора в таких вставках обеспечиваться не будет. С другой стороны все такие вставки можно пересчитать и перепроверить при аудите. Но в С и С++ весь код - unsafe. >Раст - это продукт от корпорации для корпораций, чтобы макаки писали хотя бы полурабочий софт быстро и за малые деньги. Это не то, на что стоит обращать внимание свободным людям, Корпорации на раст обратили внимание всего год назад, после того как его пять лет признавали самым популярным языком на StackOverflow. Они хотят использовать Rust в работе, и потому поддерживают его. Также как они используют С и С++, и потому поддерживают их разработку тоже. И ядро Linux и много других полезных продуктов. >потому что есть куда более удачные реализации конкурентов в области системного программирования. В чем они более удачны чем Rust? Пора уже переходить на следующий этап - ты показываешь пример кода на godbolt.org, выхлоп ассемблера. Мы вместе смотрим и сравниваем это с реализацией на Rust. Чтобы читающие могли сами сравнить где более удачная реализация. Как например с unique_ptr C++. А пока это всего лишь слова. Rust это уже рабочий инструмент, который во многом превосходит существующие.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру