glibc небезопасна

Это ты ещё glibc1 не видел.

Не надо писать многопоточный код. Это всё от лукавого. Если бы ты прочитал книгу А. В. Столярова «Программирование: введение в профессию», то не задавал бы таких вопросов.

Так у тебя и без этого большинство структур в Си не являются потокобезопасными. И Rust не ставит целью обеспечить защиту от многопоточных косяков.

Тут помогут только всяки ЯП вроде Erlang, но уже ценой наличия виртуальной машины, потери производительности и прочих расходов на абстракции.

Интересно, но я нигде не встречал требований, что (get/set)env дожны быть потокобезопасными.

Как и многие другие системные функции, например malloc/free. Не выделяте память - это опасно. И Rust не поможет.

Тут помогут только всяки ЯП вроде Erlang, но уже ценой наличия виртуальной машины, потери производительности и прочих расходов на абстракции.

Да нифига. Microsoft вот починили этот баг, добавив getenv_s(), которая лочит env и делает копию значения. А перцы из glibc не починили. Авторам стандарта тоже слегка пофигу.

Ну, раст можно ещё с musl-ом каким-то собрать, с ним чё, как?

Подробный пост об этой проблеме

Самый подробный пост об этой проблеме есть прямо в мануале по getenv. Но об этом знают только те, кто читает мануалы.

А какой смысл получать getenv внутри потока? Просто получаешь нужные переменные окружения до создания потоков и нет проблем.

Надуманная на мой взгляд проблема.

В musl другая залупа. Если переменная уже существует, setenv() меняет указатель на значение, старый указатель скармливается в free(). То есть, указатель, который тебе вернул getenv(), вполне может указывать на освобождённую память, но по немного другой причине, и нужно сразу же делать strdup(). Но сам getenv() скорее всего не упадёт (не факт).

нужно сразу же делать strdup()

А если не успеешь? (:

Надуманная на мой взгляд проблема.

Это не «надуманная проблема». Это закономерное следствие того, что при создании юниксовых API о многопоточности никто не думал. Такого по всему POSIX'у хоть жопой жуй.

С getenv понятно, но кто это дёргает setenv? Вроде бы без явного желания автора проги ничего туда не должно писаться. И вообще, на мой взгляд, setenv это почти что легаси-функция, я не вижу ей нормального применения, кроме, может быть, шеллов, но в них тредов нет.

Но то, что glibc не засунули туда, как положено, rwlock, с их стороны не очень хорошо.

Скажи, ЛОР, сишники совсем разучились писать безопасный код? Как с этим жить-то вообще?

И опять ты этот троллинг вставляешь, ну хорошо, напишу ещё раз, что не надо отдельных личностей обобщать на «сишников».

Не надо так категорично, мультитред конечно опасен и желательно без обоснованных аргументов его нужности его не делать, но иногда он всё-таки действительно нужен. Но, разумеется, без setenv внутри.

А какой смысл получать getenv внутри потока?

По ссылке ходил? Куча библиотек это делает, потому что это единственный способ передавать в них разные опции снаружи (для дебага, например).

Та же glibc проверяет переменную MALLOC_CHECK_ и включает отладку аллокатора, если та включена.

malloc/free как раз потокобезопасны.

И опять ты этот троллинг вставляешь

Я ради этого троллинга весь пост написал, чувак!

ну хорошо, напишу ещё раз, что не надо отдельных личностей обобщать на «сишников».

Тут авторы glibc (и других libc тоже) обосрались жидко. Если glibc пишут какие-то неправильные сишники, то где правильные сишники-то живут? Они вообще существуют?

Функции getenv() и setenv() небезопасны в многопоточных программах.

Это буквально написано в мануале. Какой-то растоман наконец нашел знакомые буквы в первом абзаце и высрал статью? По ссылке не ходил.

Хм, так получается там не только в мультитреде use-after-free. Просто делаешь getenv, где-то запоминаешь его ответ, потом делаешь setenv - и всё, прошлый ответ getenv-а уже, возможно, битый. Но решение я уже выше написал - не использовать ненужный setenv.

Это не «надуманная проблема». Это закономерное следствие того, что при создании юниксовых API о многопоточности никто не думал. Такого по всему POSIX’у хоть жопой жуй.

Многопоток: существует уже 35 лет.

Разрабы UNIX/POSIX/Linux: НЕЕЕЕЕЕЕТ! ЭТО СЛИШКОМ НОВАЯ ТЕХНОЛОГИЯ! МЫ ТАК БЫСТРО НЕ МОЖЕМ!!!

Скажи, ЛОР, сишники совсем разучились писать безопасный код?

Всегда.

Это буквально написано в мануале.

Нет, не написано. В man 3 getenv написано, что они сами по себе non-reentrant. Про то, что параллельный вызов getenv и setenv портит память внутри glibc, там не написано.

Разве этот массив не thread-local?

Любая non-reentrant функция является потоконебезопасной по определению. Что она там портит это уже не так важно.

Тут авторы glibc (и других libc тоже) обосрались жидко

Да вроде бы нет, и правда в мануале всё описано - указано что значение из getenv валидно только до следующего вызова setenv/putenv/unsetenv, и, внимание, даже getenv. А вот те кто это всё игнорирует, да, делают баги.

Но повторюсь, я не знаю нормального применения setenv в современном софте, и сам его ни разу не использовал. А применение getenv - в основном для временных костылей и отладки.

Да, оно ещё нереентерабильно.
Раньше кстати последовательная пара вызовов getenv не ломала друг друга, но ломалась setenv из другого потока, но в какой-то версии glibc сделали getenv безопаснее, теперь он выделяет thread-local буффер под возврат, но следующий getenv перетирает результат предыдущего

не любая. non-reentrant функция может хранить состояние в TLS, тогда она остаётся потокобезопасной

Многопоток: существует уже 35 лет.
Разрабы UNIX/POSIX/Linux:

Так как ты не подарил машину с многопотоком в Bell Labs в 1977-ом, то получай, что заслужил.

Я очень давно с этим столкнулся – у нас движок крашился при запуске, где-то в дебрях явно не нашего кода.

Дело оказалось в двух вызовах setenv перед SDL_Init( SDL_INIT_AUDIO ), поменял их на SDL-ные обертки, краши прекратились.

setenv там был нужен чтобы пульсаудио передать роль и имя приложения, ради корректно вывода во всяких микшерах.

Это буквально написано в мануале.

Нет, не написано.

Да, написано. Но для тех, кто умеет читать.

Так как ты не подарил машину с многопотоком в Bell Labs в 1977-ом, то получай, что заслужил.

Сорян, мои родители тогда ещё в школу ходили и знакомы не были :(

Да, написано. Но для тех, кто умеет читать.

Покажи, пожалуйста. Мы посмотрим.

Покажи, пожалуйста.

Ну, раз «пожалуйста», то ладно. Вот тебе сеанс чтения мануала вслух и с выражением:

attributes(7)

...
       env    Functions marked with env as an MT-Safety issue access the
              environment with getenv(3) or similar, without any guards
              to ensure safety in the presence of concurrent
              modifications.

              We do not mark these functions as MT-Unsafe, however,
              because functions that modify the environment are all
              marked with const:env and regarded as unsafe.  Being
              unsafe, the latter are not to be called when multiple
              threads are running or asynchronous signals are enabled,
              and so the environment can be considered effectively
              constant in these contexts, which makes the former safe.
...

getenv(3)

...
Thread safety │ MT-Safe env
...

setenv(3)
...
Thread safety │ MT-Unsafe const:env
...

Вот ещё одно интересное чтиво от разработчика Steam под Linux: https://ttimo.typepad.com/blog/2024/11/the-steam-client-update-earlier-this-week-mentions-fixed-some-miscellaneous-common-crashes-in-the-linux-notes-which-i-wante.html

и от этого никак нельзя защититься

А почему нельзя то?

Ага. getenv() помечена как safe. Там не написано, что она может пасть жертвой порченой памяти.

Тут реально вся проблема в том, что в getenv() не используется лок. И это довольно просто починить было бы, но пришёл LamerOk и рассказывает, что портить память – это фича.

Хуже того, getenv() и setenv() используются повсюду в библиотеках. И если свой код можно поправить, то чужой – уже куда сложнее.

Ага. getenv() помечена как safe. Там не написано, что она может пасть жертвой порченой памяти.

Читай ещё раз.

нужно сразу же делать strdup()

А если не успеешь? (:

Сохраняться надо!

это не сишники разучились, а бездари-растоманы никогда и не умели

https://man7.org/linux/man-pages/man3/setenv.3.html

Thread safety │ MT-Unsafe const:env 

о чем тут вообще говорить?

это не сишники разучились, а бездари-растоманы никогда и не умели

Сишные библиотеки вызывают setenv() и getenv() почём зря. Виноваты растоманы. Ооооок!

А применение getenv - в основном для временных костылей и отладки.

Нет. getenv позволяет использовать разные ветки в зависимости от настроек окружения, что крайне полезно, когда ты используешь CI/CD и/или распределенный запуск. Например у тебя есть 10 инстансов, каждый должен коннектиться к разным серверам, тогда удобно при развертке в контейнере устанавливать env типа INSTANCE_SERVER=bic15.irrpo.net чтобы программа брала его оттуда. В этих случаях конфигурационные файлы неудобны тем, что системе деплоя нужно автоматизированно каким-то образом их редактировать вместо просто передачи env.

Но повторюсь, я не знаю нормального применения setenv в современном софте

Есть, но редко. Например в программе есть код, который в случае установленного env SERVER использует его. Но бывают случаи, когда на данной машине в данных обстоятельствах его использовать нельзя (т.е. необходимо заоверрайдить то, что написано в env), к примеру, если программа запущена с опцией –secure, которая (для примера) запрещает выход за пределы контура. Тогда, вместо того, чтобы лепить в коде, который использует SERVER какие-то проверки удобнее на этапе инициализации сделать setenv(SERVER, ). Да, это меняет ожидаемое поведение, но иногда необходимо.

Хуже того, getenv() и setenv() используются повсюду в библиотеках. И если свой код можно поправить, то чужой – уже куда сложнее.

Так в каких же библиотеках setenv используется? Чтобы знать, какое легаси надо избегать. Ну или фиксить, если очень нужно.

Никогда такого не было и вот опять…

Поднимите issue, сделайте баг репорт, на это требуется примерно столько же энергии, что и посту на ЛОР. Еще лучше сделать фикс и закоммитить, но на это уже будет требоваться гораздо больше энергии, понимаю, поэтому не требую.

конфигурационные файлы неудобны тем, что системе деплоя нужно автоматизированно каким-то образом их редактировать вместо просто передачи env.

А чем централизованное задание переменных окружения существенно проще централизованного создания конфигурационных файлов, благо такие файлы почти всегда нужны?

Нет. getenv позволяет использовать разные ветки в зависимости от настроек окружения,

Это и есть костыли и отладка.

тогда удобно при развертке в контейнере устанавливать env типа INSTANCE_SERVER=bic15.irrpo.net чтобы программа брала его оттуда

Это надо в конфиг-файле указывать а не в env. Ну или аргументом командной строки иногда.

В этих случаях конфигурационные файлы неудобны тем, что системе деплоя нужно автоматизированно каким-то образом их редактировать вместо просто передачи env.

Ну да, используешь дефективную «систему деплоя», а виноваты оказываются конфиги.

Есть, но редко. Например в программе есть код, который в случае установленного env SERVER использует его. Но бывают случаи, когда на данной машине в данных обстоятельствах его использовать нельзя (т.е. необходимо заоверрайдить то, что написано в env), к примеру, если программа запущена с опцией –secure, которая (для примера) запрещает выход за пределы контура. Тогда, вместо того, чтобы лепить в коде, который использует SERVER какие-то проверки удобнее на этапе инициализации сделать setenv(SERVER, ). Да, это меняет ожидаемое поведение, но иногда необходимо.

Я писал что нормального применения не знаю, а ты в ответ в пример приводишь ненормальное. Во-первых, уже описанное выше костыльное использование env вместо конфига/аргументов. Во-вторых, неосиливание этот env заменить в вызвающем скрипте и вместо этого накидывание ещё костылей в бинарник. В-третьих, вместо того чтобы на старте программы спарсить все эти дефективные env, раскидать по переменным и пользоваться уже ими - подмена env чтобы кто-то где-то внутри его потом парсил. Ужас.

-----

env - это средство задания общесистемных настроек для заранее неизвестного круга процессов, которые кто-то когда-то будет запускать. Абузить их для передачи проге её индивидуальных настроек - костыль и плохо. Абузить их для передачи информации между разными функциями внутри одного бинарника - это вообще дичь.

А чем централизованное задание переменных окружения существенно проще централизованного создания конфигурационных файлов, благо такие файлы почти всегда нужны?

{
    "server" : "bon14.isske.net",
    "port" : 2814,
    "key" : "ffb6439372838abb5affb"
}

ENV_SERVER=bon14.isske.net
ENV_PORT=2814
ENV_KEY=ffb6439372838abb5affb

На лету CI/CD такой файл не создаст (а кроме того его еще и в нужное место надо деплоить). Если файл уже существует - то заменить в нем например port - уже нетривиальная задача. Плюс проблемы доступа к файлу, права и прочее.

А установить env на контейнер - это ерунда, доступная всегда и везде.

hateyoufeel, уважаю тебя. Такому постоянству, с которым ты закидываешь обсеры сишников и плюсовиков, я думаю, позавидуют многие.

P.S. Для остальных, я сам пишу на плюсах, я не отрицаю что я могу писать говнокод, но чужие ошибки это возможность научится чему то новому

да, именно так. В данном случае наговнокодили и не заметили, что тут не тредсейф, именно растоманы.

На лету CI/CD такой файл не создаст (а кроме того его еще и в нужное место надо деплоить).

Перевожу на русский: «у меня обновлением софта на сервере занимается какая-то дефективная чушь, которая прибита гвоздями к env, поэтому я использую именно его».

hateyoufeel, уважаю тебя. Такому постоянству, с которым ты закидываешь обсеры сишников и плюсовиков, я думаю, позавидуют многие.

Это просто мои любимые шизофреники на ЛОРе. Так-то я сам на Си и плюсцах пишу.

На лету CI/CD такой файл не создаст

Я не понимаю этого утверждения. CI/CD создаёт не то, что файл, а вообще новый инстанс виртуалки / докера. Какие силы зла мешают ему создать несчастный файл?

Если файл уже существует - то заменить в нем например port - уже нетривиальная задача.

Файл заменяется целиком, а не по частям.

Плюс проблемы доступа к файлу, права и прочее.

У нормального CI/CD - отдельно существует образ среды исполнения, отдельно в него разворачивается билд. Я не вижу никакой разницы между копированием файлов сборки и копированием конфига, кроме необходимости программного сгенерировать какое-то значение.

В этом смысле между переменными окружения и файлами разницы нет примерно никакой - основной гемморой это как раз генерация нужного значения. А дальше полученную строку можно как присвоить переменной так и записать в файл.

А вот кстати, хачкеля это тоже касается, он с чем собирается?