Thalassa 0.3.50

Тезис мой: на си вполне можно писать нормально0

Нельзя. Статистика ошеломляющего количества проблем говорить что нельзя. Ради интереса сравни количество CVE в curl и количество CVE в reqwest.

Можно. Сравни количество CVE в surf и количество CVE в firefox, где например используется rust. Rust - это не серебрянная пуля. Просто не нужно в программу все подряд пихать, а нужно минимизировать количество её функций и количество строк кода. В идеале вообще поделить программу на функции каждую выделить в отдельную программу и переиспользовать их. Например есть tabbed, пусть все их используют для вкладок, незачем городить везде свою реализацию.

Можно. Сравни количество CVE в surf и количество CVE в firefox.

Нет смысла, в surf никто не смотрит.

Rust - это не серебрянная пуля. Просто не нужно в программу все подряд пихать, а минимизировать количество её функций и количество строк кода.

Это не работает, мы уже пробовали. Единственное что помогает – это массовое тестирование и средства проверки корректности. Если хочешь примеров – за уязвимости в параноидальной OpenBSD платят те же деньги что за вообще не заморачивающийся FreeBSD. Потому что легко эксплуатируемых багов там очень много, в силу отсутствия QA и наличия C.

Это не работает,

Так не пробовали. Сейчас пишут иначе, в программу пытаются запихать максимальное возможное количество функций. А не надо так делать. Просто сравни количество CVE в glibc и musl.

Так не пробовали.

Oh my sweet summer child. Есть целые секты людей вроде suckless и OpenBSD, которые только и делают что пытаются писать минималистично и чтобы не было дыр. Я уже написал – они есть и их столько же. Если хочешь пруфов, смотри исследования Maxime Villard, там много смешного.

Просто сравни количество CVE в glibc и musl.

Опять же, сравнение имеет мало смысла, потому что в musl никто не смотрит из-за его нишевости и отсутствия интереса к нем людей, готовых платить за аудиты. Если посмотреть по их логам, багов с памятью там полно.

Опять же, сравнение имеет мало смысл

Ты пытаешся съехать на другую тему. На вопрос ответь.

musl

Даже не пришлось уходить дальше первой страницы git log:

7ada6dde iconv: fix missing bounds checking for shift_jis decoding

Ты пытаешся съехать на другую тему.

Нет, не пытаюсь. Я тебе объясняю почему нет смысла сравнивать результаты, если в musl никто не смотрит. Никто не смотрит => нет CVE.

Просто сравни количество CVE в glibc и musl.

Я понимаю что ты пытаешся съехать на другую тему, но хоть не так топорно не делай.

Дело твое.

Да, пытаешся. Я написал конкретно

Просто сравни количество CVE в glibc и musl.

А ты начал вилять, то туда, то сюда и крутится как пропеллер.

Да, пытаешся. Я написал конкретно.

Ты написал ерунду. Я тебя поправил. Если ты не готов столкнуться с жестокой реальностью, в которой маленькие проекты не получают достаточного внимания и тестирования, я никак не могу тебе помочь.

Ты пыташся поменять тему. Вместо того, чтобы признать что ты написал чушь, просто продожаешь носится с этим рустом как с писанной торбой. Признайся, ты случайно не на русте пишешь?

Да вроде что в webkit, что в firefox уязвимостей много. Точно они не из за вкладок получаются.

Сравнивать надо не два продукта по CVE, а код Rust с кодом на С++, посмотреть где используется Rust, сравнить по CVE и ошибкам ту же часть на С++.

Сравни количество CVE в surf и количество CVE в firefox

Тут только ещё пару моментов стоит учесть:

1. surf по сравнению с FF нихера не умеет (а большую часть из того, что умеет, за surf делает WebkitGTK);
2. surf по сравнению с FF никто не использует.

В этом же и суть. Перенести все функции в другие программы, которые проще поддерживать. Есть допустим три программы(текстовый редактор, браузер, и терминал) в которых у каждой своя своя реализация вкладок, и в каждой может быть свои CVE. Программа должна уметь ничего, как и surf. Ведь нельзя найти CVE, где ничего нет.

А так будут программы где мало кода, где код будет вылизан, которые будут повторно использоваться и где будет мало CVE

Программа должна уметь ничего, как и surf

Если ты думаешь что вкладки это самое сложное, что есть в браузере, ты сильно заблуждаешься. Основная поверхность атаки это JS engine, парсеры DOM, CSS и прочее, без чего браузер бесполезен.

Но этого всего не реализуется с нуля в surf. За это отвечает другая по сути кодовая база(webkitgtk2). А у того же firefox по-другому, из-за этого количество кода растет, его сложнее поддерживать, больше CVE.

Например в хроме есть встроенный загрузчик. Он глючит, багует и с опозданием часто стартует закачку. И с этим никак не разберутся, потому что кода много, есть проблемы поважнее. А в surf нет своей реализации загрузчика, там используется что захочешь. Например у меня используется aria2, которая вылизана и работает очень хорошо, без таких глюков как у хрома.

Но этого всего не реализуется с нуля в surf. За это отвечает другая по сути кодовая база(webkitgtk2). А у того же firefox по-другому, из-за этого количество кода растет, его сложнее поддерживать, больше CVE.

Это все было бы так, если бы в webkitgtk2 кто-то смотрел. Само по себе разделение на библиотеки ничего не дает, ими кто-то пользоваться должен. И тестировать. И проводить аудиты. Если никто не вкладывается в тестирование и аудит, разницы не будет.

Суть не в разделении на библиотеки, а переиспользовании кода. Либо в библиотеках, либо в программах. Потому что это увеличивает жизненный цикл этого кода и его успевают лучше вылизать. Например софт на Cobol вылизывают десятилетиями и в результате там минимум ошибок и он работает отлично.

Суть не в разделении на библиотеки, а переиспользовании кода. Либо в библиотеках, либо в программах. Потому что это увеличивает жизненный цикл этого кода и его успевают лучше вылизать.

Это все так, но для того чтобы это было так, нужно некоторые условия. Например, этим все кто-то действительно должен пользоваться. Сколько пользователей у webkitgtk2 и surf?

Это все так

Да, это так. И у тебя не получится снова сьехать на другую тему. Не со мной.

Да, это так. И у тебя не получится снова сьехать на другую тему. Не со мной.

А нет другой темы, это та же самая тема. Ты упорно игнорируешь самый важный компнонент обеспечения качества – само обеспечение качества, лол.

Ради интереса сравни количество CVE в curl и количество CVE в reqwest.

Да я услышал этот тезис: ты сто раз уже его произнес. А теперь ты мне скажи, че курлом-то никто не пользуется? Про реквест твой я первый раз слышу, а вот курл у меня в проде и приносит тут всем деньги

Так уж важен процет CVE на строчку кода о котором ты все время толдычишь? Почему тогда все юзают дырявый курл, при наличии божественного(наверное) реквеста?

Статистика ошеломляющего количества проблем говорить что нельзя

Реальный мир, написанный на си, говорить – что можно. Остальное пока только твои мечты, которые ты выдаешь за реальность. Я не осуждаю, если че, я – сам такой

Про реквест твой я первый раз слышу, а вот курл у меня в проде и приносит тут всем деньги

Про curl твой впервые слышу, net/http приносит в моем проде деньги.

Про curl твой впервые слышу, net/http приносит в моем проде деньги.

Да все уже мне ясно – проехали

Слава богу.