по идее

f :: Int -> Int -> Int     -- Safe looking signature
f a b = unsafePerformIO $ system "rm -rf /" >> return (a+b)

не прокатит, если функция нечистая, то в сигнатуре сразу пишется. я могу и ошибаться:-)

Safe Haskell:

{-# LANGUAGE Safe #-}

...

тогда пример с unsafePerformIO не скомпилируется.

не прокатит

unsafePerformIO умеет делать из чистого значение `IO a` нечистое `a`.

Спасибо, в точку. Это же можно сделать флагами компилятора, полагаю?

-XSafe, видимо.

Что помешает пользователю добавить в файл с вредоносным конфигом `{-# LANGUAGE Trustworthy #-}'?

То, что он не сможет подключить к нему не-safe модули и, следовательно, использовать всякие unsafe*

Да, можно ещё -XHaskell98 или -XNoForeignFunctionInterface добавить.

К Trustworthy можно подключать что угодно. См. http://www.haskell.org/ghc/docs/7.4.1/html/users_guide/safe-haskell.html (7.23.4)

Что помешает пользователю добавить в файл с вредоносным конфигом `{-# LANGUAGE Trustworthy #-}'?

Incompatible Safe Haskell flags! (Trustworthy, Safe)

Но, как я понял, вопрос не в том как не дать пользователю сделать что-то вредное (даже в чистом хаскеле это не трудно), а в том как помочь ему писать более чистые конфиги.

Значит мы поняли по-разному. Да, если пользователь не будет изображать хакера, то `-XSafe' - то, что нужно.

Да, тоже полезно.

А вообще в крайнем случае можно сделать ghc-pkg hide всех пакетов, форкнуть haskell-98, выпилить из него всё ненужное, оставить только базовое (числа, списки), переписать безопасно (как в пакете safe) и сделать для неге ghc-pkg expose, потом выставить нужные права для ghс* и директорий, так чтобы такую конфигурацию нельзя было изменить.

Хотя нет, так не получится - ограниченный исходник (конфиг) ведь должен использоваться из неограниченного.

Я вообще планировал в рантайме грузить и компилировать. Подробно описание того, как это делается я ещё не смотрел, думаю там можно обойтись и без приковывания пользователя к железной кровати.

Напиши свой DSL, имитирующий Haskell98. Всего-то проблем.

Или поступи, как разработчики xmonad. Оберни весь код из конфига в монаду.

Я вообще планировал в рантайме грузить и компилировать.

В рантайме это в сторону hint:

import Language.Haskell.Interpreter

safe :: Extension
safe = UnknownExtension "Safe"

haskell98 :: Extension
haskell98 = UnknownExtension "Haskell98"

test :: ModuleName -> IO (Either InterpreterError String)
test mod = runInterpreter $ do
  set [languageExtensions := [safe, haskell98]]
  loadModules [mod]
  setImports [mod]
  eval "f 1 2"

module A where
import Prelude
f :: Int -> Int -> Int
f x y = x + y

module B where
import Prelude
import System.IO.Unsafe
f :: Int -> Int -> Int
f x y = x + y

{-# LANGUAGE Trustworthy #-}
module C where
import Prelude
f :: Int -> Int -> Int
f x y = x + y

*Main> test "A"
Right "3"
*Main> test "B"
Left (WontCompile [GhcError {errMsg = "B.hs:5:1:\n    base:System.IO.Unsafe can't be safely imported! The module itself isn't safe."},GhcError {errMsg = "B.hs:5:1:\n    base:System.IO.Unsafe can't be safely imported! The module itself isn't safe."}])
*Main> test "C"
Left (GhcException "C.hs:1:14-24: Incompatible Safe Haskell flags! (Safe, Trustworthy)\nUsage: For basic information, try the `--help' option.")

ну и так далее. Одна проблема только, что это интерпретатор (хоть и через GHC API).

hint

Ещё mueval.

Пиши на mercury, там есть такое.

Оберни весь код из конфига в монаду.

Это не поможет. Смотри пример из 0-го поста.

Напиши свой DSL, имитирующий Haskell98

Писать велосипеды мне разонравилось года четыре назад.

Мне кажется, я и сейчас уже достаточно маргинален.

Спасибо за пример. Это мне и нужно.

мне разонравилось года четыре назад.

А ты разве не школьник?

Хацкель — не чисто функциональный язык.

В чисто функциональном языке не может быть обратной связи с пользователем. Точнее она может быть, но только в конце выполнения программы и, естественно, она не может влиять на ввод пользователя.

Не вижу противоречия. Может мне разонравилось писать велосипеды в VI классе, а сейчас я в X.

Подумай еще раз!

Да ты сам бог магии!

Зачем?

Не нужно ограничивать пользователя в конфиге. Если он может написать в конфиг rm -rf /, то что мешает ему сразу выполнить эту команду?

Т. е. если программа выполняется от пользователя, а он написал в конфиг что-то нехорошое, то это вина пользователя, а не программы.

Другое дело, если программа выполняется с повышенными привилегиями - тогда она не должна исполнять user-writable файлы.

Точнее она может быть, но только в конце выполнения программы

Выполнение программы занимает 0 наносекунд. Остальное время выполняется IO-действие, полученное в результате.

Зачем?

Если юзеру угодно пропатчить себе систему таким образом - мне не жалко. Интерес скорее теоретический.

маловероятно, скорее стилистически необоснованная гипербола

Плюсую :)

сигнатура пользовательской функции гарантирует, что она делает именно то, что просят

Неправда, вроде бы.

Я имел виду, что функция не имеет побочных эффектов. Конечно, можно написать неправильную функцию, но с ключом Safe можно сказать, что диск она точно не отформатирует.

с ключом Safe

Тогда да, все чисто.