Forum: PC-Programmierung Rust - ist das hier um zu bleiben?

MaWin schrieb:
> Es geht aber darum, dass Rust diese Konzepte erzwingt und noch viel
> weiter treibt (Lifetimes) als z.B. C++.

Sagte ich doch, das tun Rust, Python, NanoFramework und sicher noch ein 
paar andere. Und wie andere ebenfalls sagten, ist das nur eins der 
Einfallstore für clevere Hacker. Es gilt der Satz des indischen Weisen: 
Die größte Sicherheitslücke bei IT-Systemen sitzt vor dem Bildschirm und 
klickt auf Links.

MaWin schrieb:
>> ist das nur eins der Einfallstore für clevere Hacker.
> UB/AOOB und Data Races sind nicht nur "irgendein Einfallstor"

Wo habe ich "irgendein Einfallstor" geschrieben? Zitiere mich bitte 
richtig.

MaWin schrieb:
>> ist das nur eins der Einfallstore für clevere Hacker.

"eins" ist nicht "irgendein".

Nur zur Kenntnisnahme, auch auf die Gefahr hin, dass ich mich 
wiederhole: Ich halte "C" heutzutage für gar nichts mehr geeignet, weil 
es für alle möglichen Domains bessere Alternativen gibt. Würde heute 
noch wer ein neues Betriebssystem from scratch schreiben, würde er das 
sicher nicht in purem "C" machen, außer vielleicht die 
allerallerrudimentärsten Funktionen, die nötig sind, um einen gemanagten 
Kernel hochzuziehen, und danach zur Laufzeit diese rudimentären 
Funktionen auch gleich wieder entladen.

Ob Rust in der Industrie Fuß fassen wird hängt wahrscheinlich doch stark 
davon ab ob sich die Platzhirsche der Compilertoolfirmen wie IAR & Co. 
der Sprache annehmen werden und sie unterstützen wollen.

Deshalb nehme ich an, daß Rust genau wie andere Sprachen offiziell von 
den relevanten Standardorganisationen anerkannt werden muß. Letztens 
hängt Adoption auch von zusätzlicher notwendiger Industrie Bürokratie 
ab. Der embedded Bereich muß auch besonders berücksichtigt werden. Auch 
Debugging und Simulation sind wahrscheinlich wichtige Gesichtspunkte.

Dazu kommt, daß in vielen Firmen die Entwickler nicht unbedingt 
durchsetzen können welche Sprachen für Produktentwicklung verwendet 
werden sollen. Deshalb nehme ich an, daß man geduldig sein werden muß um 
zu erleben wie sich die Adoption ausspielen wird. Die Inertia der 
Menschen ist oft der wirkliche Hinderungsgrund warum neue Paradigmen so 
lange brauchen um Fuß zu fassen.

Erschwerend für eine Adoption werden dann manche Kunden auch darauf 
bestehen ein komplettes Rust Entwicklungspackage wie z.B. IAR Workbench 
für Rust bestellen zu können wo die praktischen Berücksichtigungen der 
realen Welt vorhanden sind. Bis dahin wird man schon abwarten müssen. 
Die Geeks mögen von Rust verzaubert sein, trotzdem fürchte ich, daß 
gerade das nicht genug ist.

OK. Jetzt dürft ihr auf mich hauen wenn ihr könnt:-)

So, jetzt auch mal meine Meinung zu Rust an sich, nicht das "Ja, du hast 
geschrieben: dies; ich sage dazu: das!"

Prinzipiell finde ich die Idee von Rust sehr gut. Vom Konzept her wäre 
Rust gut geeignet gerade im Embedded-Bereich auf kleinen Controllern, wo 
die Projekte ja schon aus Speichergründen nicht unbedingt ausufern, und 
die Art der Ressourcen-Verwaltung in Rust in ein riesiger Fortschritt. 
Traits gefallen mir auch, die fördern eine klare Trennung von Daten und 
Methoden. In der klassischen Objektorientierung, die ja akademisch immer 
noch so gelehrt wird, sind Daten und Methoden immer brav in einer Klasse 
verpackt, aber in der Praxis ist das nur noch Ballast (Stichwort 
"Puppet-Player-Pattern", TDA, OCP).

Was mich (das ist natürlich immer Geschmackssache) in vielen Punkten 
stört, ist die Syntax. Die sieht mir inkonsistent aus.

Zum Einen ist es im Zeitalter der großen IDEs (seien es VS xyz, sei es 
Eclipse) absolut sinnfrei, ein Wörtchen wie "function" abzukürzen.

Zum Zweiten, so gut ich es finde, dass Curlys zwangsweise sind (guter 
Stil in jeder Curly-Sprache heutzutage), kommt dann das Weglassen von 
runden Klammern wie etwas komplett Gegensätzliches daher und scheint ein 
gewisses Anbiedern an Python und sonstige Whitespace-Sprachen zu sein.

Moderne Programmiersprachen sind nicht mehr auf Tipp-Effizienz, sondern 
auf klare Syntax ausgelegt UND stören nicht mehr mit künstlichen 
Störenfrieden wie * und &. C# ist z.B. mindestens so "C"-Style wie Rust, 
verzichtet aber auf solche Stolpersteine komplett, ebenso auf :, :: und 
-> außer in unsafe-Bereichen. Moderne Programmiersprachen achten viel 
mehr auf Lesbarkeit als der olle Kram von "damals, als alles besser war" 
(eigentlich ja doch schrecklicher). Oder mag wirklich jemand die 
Sternchen-Orgien in "C" bei Funktionszeigern oder die ollen & und -> in 
C++?

Ein nicht besonders großes, aber hübsches Syntax-Gimmick ist, dass es 
keinen Unterschied mehr zwischen for- und for-each-Schleifen gibt. 
Braucht kein Mensch, richtig so. Das konnte schon lange wirklich mal 
weg! ^^

Gerhard O. schrieb:
> Ob Rust in der Industrie Fuß fassen wird hängt wahrscheinlich doch stark
> davon ab ob sich die Platzhirsche der Compilertoolfirmen wie IAR & Co.
> der Sprache annehmen werden und sie unterstützen wollen.

Und warum sollten sie? Welcher z.B. Industriekunde würde das fordern 
bzw. kaufen?
Solche Modesprachen existieren nur in ganz kleinen Blasen irgendwelcher 
akademischen Brainfucks und OO-Hipstern die auf jeden Quatsch 
aufspringen und eine smarte Saftpresse zuhause haben.

Gerade die Mitglieder dieser Gruppen verkennen die reale Situation und 
können anscheinend schlecht einordnen, wie irrelevant Rust im wirklichen 
Leben, da wo Geld verdient wird, eigentlich ist.

Olaf schrieb:
> Er koennte bezueglich Fehler aber auch sehr viel
> besser sein wenn er von sehr vielen Leuten verwendet wird die alle zur
> Verbesserung beitragen.

Finde den Fehler...

Es gibt sehr viel Code, der von sehr vielen Leuten verwendet wird. Es 
gibt aber nur sehr, sehr, sehr wenig Code, der von sehr vielen Leuten 
verwendet wird, die da auch alle zur Verbesserung beitragen.

Und die Frage, ob mehr Fehler in wenig genutzer Software besser sind, 
als wenige in viel genutzer, dürfte noch nicht endgültig ausdiskutiert 
sein.

Oliver

Cyblord -. schrieb:
> Gerade die Mitglieder dieser Gruppen verkennen die reale Situation und
> können anscheinend schlecht einordnen, wie irrelevant Rust im wirklichen
> Leben, da wo Geld verdient wird, eigentlich ist.

Da ist was dran, aber ich sage bewusst: leider. Wenn man sich die ganze 
Smart-Home-Szene ansieht, wo es sicher bald schon für Klospülungen ne 
App gibt (kennt noch wer diesen unsäglichen Werbespruch von Apple? "Ach, 
dafür gibt's doch bestimmt auch ne App!"), und wenn man das dann mal auf 
den Automotive-Bereich abstrahiert, dann Herzlichen Glückwunsch!

Das ist so ein bisschen wie in der alten Zeit mit Dampfloks: "Was labern 
die da über Elektrifizierung! Ich steh hier mit 1000 Tonnen am Haken an 
der Steigung, und die Räder drehen durch!"

Ob es nun Rust wird oder ne andere Sprache mit zeitgemäßen Konzepten, 
ist mir relativ. Andererseits bin ich faul, und wenn ich die Wahl 
zwischen Rust und Python haben müsste, würde ich eher Rust nehmen, weil 
sie mir vertrauter aussieht aka schneller vom Lernen zur Produktion. Ich 
bin (anders als andere hier) kein Fanboy, aber alleine schon das 
Ressourcen-Konzept ist ne bedenkenswerte Sache.

Das Argument "das hilft mir doch aber jetzt nicht!" ist ein Zeichen von 
mangelnder Planung und vor allem von einer Mischung aus zu vielen 
Aufträgen und zu niedrigen Stunden-/Projektpreisen. Und ja, ich weiß, 
wie knifflig bis unmöglich es ist, ner Kundin beizubiegen, dass sie auch 
was davon hat, wenn wir verlässlicheren Code schreiben, der gleich beim 
ersten Release einigermaßen stabil läuft.

(Bevor mich wer disst: Unternehmen sind meist "Gellschaften" (GmbH, 
AG...), drum "sie".)

Cyblord -. schrieb:
> Gerhard O. schrieb:
>> Ob Rust in der Industrie Fuß fassen wird hängt wahrscheinlich doch stark
>> davon ab ob sich die Platzhirsche der Compilertoolfirmen wie IAR & Co.
>> der Sprache annehmen werden und sie unterstützen wollen.
>
> Und warum sollten sie? Welcher z.B. Industriekunde würde das fordern
> bzw. kaufen?
> Solche Modesprachen existieren nur in ganz kleinen Blasen irgendwelcher
> akademischen Brainfucks und OO-Hipstern die auf jeden Quatsch
> aufspringen und eine smarte Saftpresse zuhause haben.
>
> Gerade die Mitglieder dieser Gruppen verkennen die reale Situation und
> können anscheinend schlecht einordnen, wie irrelevant Rust im wirklichen
> Leben, da wo Geld verdient wird, eigentlich ist.

Das sehe ich möglicherweise positiver als Du. Ich bin der Meinung, daß 
man Rust fairerweise einfach Zeit lassen muß um Fuß fassen zu können. 
Das geht deshalb nicht so schnell weil noch viele Erfahrungen in der 
realen Welt gesammelt werden müssen. Um im weiteren Bereich verwendet zu 
werden ist Standard Adoptierung hier absolut notwendig; geht aber nicht 
so schnell. Bis dahin werde ich mit Interesse die Entwicklung mit 
offenen Augen verfolgen. Bei C und C++ war es auch nicht viel anders.

Carsten P. schrieb:
> Und ja, ich weiß,
> wie knifflig bis unmöglich es ist, ner Kundin beizubiegen, dass sie auch
> was davon hat, wenn wir verlässlicheren Code schreiben, der gleich beim
> ersten Release einigermaßen stabil läuft.

Was der zwar zunächst Geld spart, das die dann später doppelt wieder 
ausgibt, wenn der ganze Kram wegen Unwartbarkeit auf Grund einer 
Exotenprogrammiersprache in die Tonne gekloppt werden muß.

Ich will jetzt nicht sagen, daß Rust dieses Schicksal droht, aber es ist 
noch nicht übern Berg.

Oliver

Gehört nicht unbedingt zum Thema und ist O.T., aber hier ist noch ein 
allgemeiner Aspekt der mir Sorgen macht:

Wegen der Komplexität und Device Intercommunication moderner verbundener 
Anwendungen werden sehr oft Teile der Anwendung mit eingebunden 
komplexen externen Ressourcen verwendet die nicht immer im Quellenformat 
zur Überprüfung erhältlich sind. Oft müssen BT, WLAN und Ähnliches 
funktionieren weil die Kunden alles über Smartphone und Internet steuern 
wollen. Erschwerend kommt dazu, daß nicht alle Programmierer Genies sind 
und man sich schwer tut Probleme oder Sicherheitslücken zu erkennen bzw. 
Diagnostizieren zu können.

Wenn das tatsächlich so ist, dann ist Produktentwicklung fast immer ein 
riskante Sache und die Sprache vielleicht nur sekundär wichtig. Auch 
wenn Rust z.B. schwerer durch böswillige Elemente zu hintergehen ist, 
können die eingebundenen extern entwickelten Ressourcen alle durch die 
Sprache gegebene Robustheit wieder total zunichte machen. Um bessere 
externe Sicherheit zu erzielen müssten die Probleme an der Wurzel 
angefasst werden.

Ob man dann in C++ oder Rust programmiert ist so gesehen nicht mehr so 
wichtig. Was notwendig ist, externe Stacks zu finden, die robust genug 
sind, Attacken gehörig zu erschweren. Wie man den Rest der Anwendung 
kodiert ist dann nicht mehr so kritisch wenn man nicht gerade groben 
Unfug macht. Ob ich hier mit meinen Ausführungen etwas angeschnitten 
habe was wichtig ist, kann ich praktisch nicht so gut beurteilen weil 
ich in Sachen "Verbundenheit" nicht viel mache und ihr müsst es 
wahrscheinlich besser wissen wie man sichere verbundene Apps und Geräte 
realisiert.

Noch am Rande, man sieht in den Medien und Reklame immer öfters wie man 
Smartphones zur Bedienung, Öffnung der Autoschlösser usw. anpreist. 
Ehrlich gesagt mir wäre es zu blöd jedesmal ein Handy suchen und 
bedienen zu müssen um in mein Auto einsteigen zu können. Es mag sich 
zwar sexy ansehen, aber irgendwie finde ich ist dieser ganze Trend 
überzogen. Ein Handy mag in gewissen Situationen auf diese Weise 
nützlich sein, aber nicht um jeden Preis alles vernetzen zu wollen. 
Gerade diese Sachen verursachen die meisten Sicherheitslücken.

🐧 DPA 🐧 schrieb:
> Ich und der Compiler - wir haben beide starke Meinungen,
> wie wir das lieber umgesetzt sehen wollen...

Das ist jetzt nicht böse gemeint, eher als "frohes neues Jahr"... Dann 
schreib dir doch deinen eigenen Compiler! ;-)

MaWin schrieb:
> Carsten P. schrieb:
>> kommt dann das Weglassen von
>> runden Klammern wie etwas komplett Gegensätzliches daher
>
> Du kannst ja runde Klammern nutzen, wenn du das möchtest. Der
> Rust-Compiler hindert dich nicht daran. Du musst nur die Warnung
> abschalten. Eine Zeile in der compiler-config.

Gut zu wissen. Ist echt mal ein Thema zum sich näher mit beschäftigen, 
und die nächsten Tage finde ich immer wieder mal ein bisschen Leerlauf. 
Nennt sich "nicht existenter Urlaub", aber das Thema interessiert mich 
jetzt echt.

Frage an dich Fachperson: Wenn ich eine Rust-Lib "von woanders" aufrufen 
will, dann genauso wie ne C/C++-Lib?

Gerhard O. schrieb:
> Gehört nicht unbedingt zum Thema und ist O.T., aber hier ist noch ein
> allgemeiner Aspekt der mir Sorgen macht:
>
> Wegen der Komplexität und Device Intercommunication moderner verbundener
> Anwendungen werden sehr oft Teile der Anwendung mit eingebunden
> komplexen externen Ressourcen verwendet die nicht immer im Quellenformat
> zur Überprüfung erhältlich sind.

Im Ernst, Gerhard, wenn das OT ist, ist das ganze Forum OT. Es gibt 
derzeit wohl kaum ein überall heißer diskutiertes Thema in der ganzen 
IT-Branche als genau das da!

Deswegen verbaue ich nirgendwo auch nur zwei Devices ("Dinge" im Sinne 
von IoT), ohne dass ich einen Knoten dazwischen habe, der die Kisten 
überwacht. Bei uns ist es geschäftlich und bei mir ist es privat auch 
so, dass kein Teil verwendet wird, das fröhlich über http oder noch 
tiefer im Layer unverschlüsselte Daten in die Welt posaunen darf, es sei 
denn, es sitzt zB wie ein einfacher Sensor so nah am nächsten Knoten, 
den wir wieder unter Kontrolle haben, dass du schon die Leitung anritzen 
müsstest, um da was abzugreifen.

Ich konstruiere mal ein gar nicht so fiktives Beispiel: Du bist ein 
Einbrecher. Du hast die nötige technische (durchaus legal beschaffbare 
und auch nicht großartig aufs Konto schlagende) Hardware. Du willst 
natürlich wissen, wann wer zuhause ist. Das ganze Zuhause der Leute, die 
du ausrauben willst, ist natürlich super "smart" (eigentlich steindoof). 
Das Licht wird geschaltet, etwa im Flur, über gaaaanz smarte, übers WLAN 
angeschlossene Lichtschalter. Ja, die Daten sind verschlüsselt, die 
Hersteller sind ja nicht ganz bekloppt. Nur haben sie was vergessen.

Also hältst du deine WLAN-Antenne da aufs Haus, fischst die Pakete ab, 
und stellst fest, dass OIZ324867yyxdf "Aus" bedeutet und 6jhgbsd76345r4 
"Ein". Klingt harmlos. Nun stellst du auch fest, weil die Alarmanlage 
vom selben Hersteller und auch übers WLAN ("dafür gibt's doch bestimmt 
ne App!") läuft, dass 9786dfkjhTX&% "Alarm ein" und PIUz876r54gh "Alarm 
aus" bedeuten. Jetzt kannst du ja mal probieren, mit derselben IP (weil 
du natürlich im Promisk-Modus gelauscht hast) das Signal "Lampe ein" zu 
schicken". Wenn das geht, könnte ja vielleicht auch "Alarm aus" 
funktionieren. Da musst du überhaupt nicht wissen, was die Daten 
wirklich bedeuten. Der Trick ist übrigens schon weit verbreitet bei 
Auto-Dieben, die einfach das Signal des Funk-Schlüssels aufzeichnen und 
wiedergeben.

Würde der entsprechende Coder auf die Idee gekommen sein, einen 
Timestamp mit zu verschlüsseln, wäre das alles hinfällig. Aber wie man 
weiß, ist dem nicht so. Vielleicht, weil er nicht weit genug denkt, 
vielleicht aber auch, weil sein Chef im gesagt hat, dass bei 100.000 
gebauten Autos 10 Cent für den uC schon seinen Bonus ausmachen.

Stromzähler sind übrigens für so eine Schwachstelle bereits vom CCC und 
anderen aufmerksamen Leuten ausgemacht. Die senden gerne den Zählerstand 
ans EVU, und mit ein paar gar nicht so geheimen Tricks kriegt man von 
außen raus, wann der Stromverbrauch hoch und wann niedrig ist. 
Angenommen, bei entsprechenden Stückzahlen kosten ein AtTiny45 45 und 
ein AtMega328 328 Cent. Da kannst du dir ja vorstellen, was der 
Controller beim Kunden sagt, wenn du mit Datensicherheit anfängst, 
während der an den Bonus denkt.

MaWin schrieb:
> Carsten P. schrieb:
>> Frage an dich Fachperson: Wenn ich eine Rust-Lib "von woanders" aufrufen
>> will, dann genauso wie ne C/C++-Lib?
>
> Du kannst in Rust Symbole und Strukturen mit C-Layout und C-Linkage
> anlegen. Wenn es das ist, was du meinst.

Ja, genau, das meinte ich, also so, dass ich sie von außen mit anderen 
Sprachen aufrufen kann wie ne "C"-Lib.

MaWin schrieb:
> Carsten P. schrieb:
>> Der Trick ist übrigens schon weit verbreitet bei
>> Auto-Dieben, die einfach das Signal des Funk-Schlüssels aufzeichnen und
>> wiedergeben.
>
> Replay-Attacks funktionieren seit 20 Jahren nicht mehr bei
> Autoschlüsseln und bei allen anderen Arten von Crypto-Funkschaltern.

Komisch, dass die Mediatheken voll davon sind, und die sind damals, vor 
20 Jahren, natürlich deswegen mit ner 16:9 Arri aufgenommen worden, als 
noch niemand an HD dachte, damit es heute authentisch wirkt... ^^

So viele kluge Sachen du manchmal schreibst, MaWin, manchmal schießt du 
deiner Glaubwürdigkeit selbst ins Knie ;-)

Nop schrieb:
> 3) C ist relativ einfach.

Definiere "relativ" ^^

Wir wissen alle, dass das totaler Quatsch ist. Aus Sicht eines BWLers 
vielleicht. Aber technisch gesehen ist blankes "C" genauso "einfach" wie 
Assembler.

Wenn du schonmal ernsthafte (das heißt kommerziell in großen Stückzahlen 
verwendete und sicherheitstechnisch relevante) Software entwickelt als 
mit einem Nicht-Coder als Vorgesetztem, Kunden oder whatnot, weißt du, 
wie schnell aus der mal eben hin geschnodderten "Machbarkeitsstudie" ein 
Denkmal wird, das nicht mehr gemeißelt, sondern nur noch angemalt wird.

Ich jedenfalls erinnere mich sehr gut daran, dass ich vor uff... knapp 
30 Jahren? meinem damaligen Chef zeigte, wie man von nem PERL-Script im 
Sekunden-Takt Texte an nen Webbrowser (der hieß damals noch Netscape 
Navigator) schickt, bis er verstanden hatte, dass man daraus nen Chat 
bauen könnte, und der musste dann natürlich in ner Woche fertig sein. 
Sowas wie ne Anmeldung (ohne E-Mail-Prüfung, keine Zeit) hab ich dann 
nach Feierabend dazu gecodet. Das Ding ist weit gewachsen, aber an echte 
Sicherheit, also echte Authentifizierung hat damals keine Sau gedacht. 
Und die Fehler in dem hin gerotzten Code wurden natürlich gnadenlos 
aufgedeckt. Aber selbst dann fand mein Chef, nö, das tut's, das bringt 
Geld, keine Zeit, weiter zum nächsten Projekt.

Heute sind manche Chefs anders und sensibler für solche Themen. Aber 
eben nicht alle, und genau da entstehen die @MaWin "irgendwelchen 
Scheunentore".

Olaf schrieb:
> Und noch erstaunlicher, C ist da mittlerweile seit 20Jahren dominant. Da
> kam noch nie jemand der Gedanke das man was anderes verwenden koennte.

Davor wurden Controller halt vorrangig in Assembler programmiert. C war 
da schon mal eine mächtige Verbesserung, weil man mit vergleichsweise 
geringen Einbußen an Laufzeiteffizienz eine drastische Verbesserung der 
Coding-Effizienz erzielen kann und (auch wenn hier alle über C 
dahingehend unken) ganz gewiss auch eine drastische Verbesserung der 
Sicherheit. Wer sich (durchaus zu Recht) über die Sicherheitslücken 
beklagt, die mit C möglich sind, der sollte sich einfach mal 
vergegenwärtigen, wie das alles mit Assemblercode aussähe. ;-)

Nun wiederum, einen einmal etablierten Platzhirsch zu vertreiben, ist 
keine so leichte Aufgabe. So groß dürfte der Leidensdruck, C an dieser 
Stelle abzulösen, bei vielen Programmierern im Embedded-Bereich *) nicht 
sein. Gerhard hat ja viele Punkte genannt. Die Verheiratung einer 
Sprache mit einem eigenen Buildsystem dürfte einem solchen Ansinnen auch 
nicht gerade förderlich sein.

*) Ich meine hier mit "Embedded" nicht so'n Highlevel-Kram wie 
Smartphone & Co. Alles, was mit einem fetten Betriebssystem daher kommt, 
ist in dieser Hinsicht ja eher PC-mäßig. Ich meine den wirklichen 
Lowlevel-Kram, der bis vor 30 Jahren komplett in Assembler war (8051 
waren die ersten, bei denen dann jemand mit Compilern angetreten war).

Carsten P. schrieb:
>> Replay-Attacks funktionieren seit 20 Jahren nicht mehr bei
>> Autoschlüsseln und bei allen anderen Arten von Crypto-Funkschaltern.
>
> Komisch, dass die Mediatheken voll davon sind,

Bei Crypto-Funkschaltern mag das so sein. Der Angriff auf Autos 
funktioniert ganz anders. Und weil das tatsächlich seit Jahren duch alle 
Mediakanäle getrieben wurde, sollte das jeder problemlos auseinander 
halten können.

Oliver

MaWin schrieb:
> Double-Free/Use-after-free ist in Rust nicht möglich).

Solche checks sind ja toll. Genauso wie das Prüfen von Arraygrenzen. Das 
benötigt aber Code zur Laufzeit. Den kann auch Rust nicht wegzaubern. 
D.h. da läuft dann ständig irgendwelcher Code für JEDEN Arrayzugriff und 
es müssen ständig Datenstrukturen im Speicher mitgeführt werden, um 
solche Dinge abfangen zu können.

In der System- und Embedded-Entwicklung will und kann man das aber 
meistens nicht.

MaWin schrieb:

> Nein, benötigt es nicht.
> Das prüfen von Allokationen passiert komplett zur Compilezeit und das
> Prüfen von Arraygrenzen auch zu einem sehr großen Teil.

Ahso alles zur Compilezeit. Also wenn es dynamische Allokation gibt, 
dann muss man auch Grenzen zur Laufzeit prüfen.

> Wenn der Array-Index nicht beliebig sein kann, dann wird das zur
> Compilezeit aufgelöst.

Und wenn deine Tante Eier hätte wäre sie dein Onkel. Der konkrete Index 
kann jederzeit von einer Eingabe zur Laufzeit abhängen.

> Rust hat hier praktisch keinen Laufzeitnachteil gegenüber C.

Jaja bla blubb. Erzähls deinen Hipster-Freunden.

Es gibt nur zwei Möglichkeiten: Entweder du kannst relativ ungestört 
direkt in den Speicher reingreifen oder jeder Fetzen Speicher ist 
abgesichert, was aber Datenstrukturen und Code braucht, der Checks 
ausführt.
Das kann man nicht wegdiskutieren.

Nop schrieb:
> Cyblord -. schrieb:
>
>> Und wenn deine Tante Eier hätte wäre sie dein Onkel. Der konkrete Index
>> kann jederzeit von einer Eingabe zur Laufzeit abhängen.
>
> Praktisches Beispiel: eine for-Schleife über alle Deine
> Temperatursensoren, deren Werte in einem Array stecken. Da kann der
> Compiler durchaus statisch ermitteln, ob das Array mit ausreichender
> Größe deklariert ist.

Das kann jedes PCLINT finden. Was bringt ein statisches Beispiel? Ein 
einziges dynamisches Beispiel und du brauchst den Check zur Laufzeit.

Deshalb ist diese Sicherheit eben kein Verdienst von Rust, sondern muss 
in jedem Fall erkauft werden. Die Sprachdefinition und die möglichen 
Checks zur Compilezeit sind Kindergarten. Statische Codeanalyse wurde 
schon vor ner Weile erfunden.

Nop schrieb:
> Cyblord -. schrieb:
>
>> Das kann jedes PCLINT finden.
>
> Aber nicht, wenn Du das Array als Parameter einer Funktion übergibst,

Doch ganz sicher.

> womöglich noch in einer anderen TU, weil es in C dann zu einem Pointer
> ohne Längeninformation verflacht.


Ja und wie sieht dein statischer Check aus, wenn ich einen Index über 
UART empfange?

Nop schrieb:
> Wobei es natürlich bessere statische Code-Checker für C gibt, die auch
> interprozedurale Analyse können - aber PC-Lint speziell kann es halt
> nicht.

Ja dann nimmst Klocwork.

Rust brauch ich dafür immer noch nicht. Und wie dynamische Indizes ohne 
zusätzlichen Code und Daten geprüft werden kannst du sicher aufzeigen.

MaWin schrieb:
> In dem Fall musst du das in C auch prüfen.

Nein, ich KANN. Ich muss aber nicht. Vor allem wird kein Zwangsweise 
Code erzeugt der das prüft.

MaWin schrieb:
> In Rust geht es aber öfter, weil Arrays vernünftig typisiert sind und
> nicht so ein Unfug mit Array-Pointer-Decay gemacht wird.

Dann kann Rust wohl keine Objekte/Strukturen serialisieren? Oder wie 
wandle ich sowas in ein Byte-Array um es z.B. über einen UART zu senden? 
Kann Rust beim Deserialisieren (Empfang über UART) prüfen ob das Objekt 
den korrekten Typ hat?
Und das auch noch ohne zusätzlichen Speicher?

Cyblord -. schrieb:
> Nein, ich KANN. Ich muss aber nicht.

Ja, genau. Das ist ja das Problem.

> Vor allem wird kein Zwangsweise Code erzeugt der das prüft.

In Unsafe-Rust kannst du auch ungeprüfte Zugriffe verwenden, wenn du 
unbedingt scharf auf Sicherheitslücken bist.

Cyblord -. schrieb:
> Dann kann Rust wohl keine Objekte/Strukturen serialisieren?

Wie kommst du jetzt darauf?

https://crates.io/crates/serde

MaWin O. schrieb:
> In Unsafe-Rust kannst du auch ungeprüfte Zugriffe verwenden, wenn du
> unbedingt scharf auf Sicherheitslücken bist.

Tja in C will man eben relativ viel Freiheit mit einigermaßen 
ordentlichen Datentypen, Strukturen und Kontrollmechanismen.

Wer das nicht will, nimmt C#, Java oder halt Rust.
Nur kommen diese ganzen Checks eben nicht ohne Code und Daten zur 
Laufzeit aus. Darum geht es mir. Es ist nicht die tolle Sprache die 
irgendwas sicher macht, sondern die Unmengen an automatisch erzeugtem 
Code.
Deshalb wird es C nicht ablösen. Weil man genau deshalb C verwendet um 
das nicht zu haben.
Es gab schon genug Versuche mit Java auf Embedded. Und viele ähnliche 
Scherze. Am Ende ist das alles nur viel aufgeblasener Code um ein paar 
Zeilen produktiv Code in einem sicheren Setting zu schreiben.

MaWin O. schrieb:
>> Dann kann Rust wohl keine Objekte/Strukturen serialisieren?
>
> Wie kommst du jetzt darauf?
>
> https://crates.io/crates/serde

Natürlich bietet Rust diese Funktionalität, aber der Punkt ist, wenn du 
ein Objekt in einen Bytestrom verwandelst, dann hast du auch keine 
Sicherheit mehr. Außer du baust mit zusätzlichen Daten wieder was drum 
rum.
Nichts anderes passiert in C wenn man direkt in den Speicher einer 
Struktur oder eines Arrays reingreift. Und manchmal muss man das eben, 
z.B. mit angesprochenen Fall um das über UART zu senden.

Cyblord -. schrieb:
> Nur kommen diese ganzen Checks eben nicht ohne Code und Daten zur
> Laufzeit aus. Darum geht es mir.

Ja. Darum geht es dir.

Es ist aber falsch.

Cyblord -. schrieb:
> Nichts anderes passiert in C

Schön, dass du es doch noch eingesehen hast.
Rust ist in diesem Aspekt nicht langsamer als C.

MaWin O. schrieb:
> Cyblord -. schrieb:
>> Nur kommen diese ganzen Checks eben nicht ohne Code und Daten zur
>> Laufzeit aus. Darum geht es mir.
>
> Ja. Darum geht es dir.
>
> Es ist aber falsch.

Dann zeig auf, wie ein dynamischer Index ohne Laufzeit und Daten von 
Rust geprüft wird.

Minimalbeispiel:

1

int a[100];

2

int x=receiveUART();

3

int d=a[x];

MaWin O. schrieb:
> Rust ist in diesem Aspekt nicht langsamer als C.

Dann kann Rust in diesem Aspekt auch nicht sicherer sein.
Laufzeitchecks gibt es nicht umsonst. Kann es nicht geben.

Cyblord -. schrieb:
> In der System- und Embedded-Entwicklung will und kann man das aber
> meistens nicht.

Ich lese mich ja gerade in Rust ein wenig ein, weil ich mir die Zeit 
dafür nehme. Erstens ist es natürlich mit nem (verschmerzenswerten) 
Overhead (das meiste passiert zur Compile-Zeit) verbunden, aber meine 
Antwort auf deine Aussage lautet unabhängig von der Programmiersprache:

Wer das nicht WILL, wird irgendwann (sehr bald) den Bach runter gehen. 
Embedded ist nicht Zuse in der Neuzeit. Die Anforderungen gerade im 
Embedded-Bereich sind Sicherheit, Sicherheit, und bevor ich es vergesse: 
Sicherheit!

Es liegt natürlich an deinem Naturelle, ob du damit leben kannst, dass 
dein Auftraggeber nach ein paar Toten und Schwerverletzten wegen einer 
falschen Programmierung von Airbags zigtausend Autos in die Werkstatt 
zurück rufen musst. Wenn du schlau warst, hast du jede Haftung 
ausgeschlossen im Vertrag...

Wessen Maxime in diesem Bereich nur billig, billig! uuuund billig! ist, 
wird sich eher früher als später wundern, wenn er mit Klagen überrissen 
wird.

Diese "ich weiß schon, was ich mache"-Attitüde ist einfach Mist. Ein 
Embedded-Coder hier, der seinen kompletten Code mit Unit-Tests 
überzieht? Test-driven? Clean Code anyone? Im Ernst, wenn die Produkte 
weiter nur auf billig, billig gebaut werden, darf sich niemand wundern, 
wenn die genauso miesen, aber nur halb so teuren Sachen aus China den 
Markt dumpen.

Cyblord -. schrieb:
> Minimalbeispiel:
>
>

1

> int a[100];

2

> int x=receiveUART();

3

> int d=a[x];

4

>

Du prüfst also nicht, ob x > 100 ist? Oh, wow, ich hoffe, du 
programmierst keine Airbags... Achso, es ging um Rust. Jepp, das kriegt 
Rust hin, zur Übersetzungszeit bereits, weil es den Rückgabewert von 
receiveUART() prüft und dann feststellt, ob er die Array-Grenze 
überschreiten kann.

Das könnte ein entsprechender "C"-Compiler aber auch, so ne 
Schlampigkeit feststellen ^^

Carsten P. schrieb:

> Du prüfst also nicht, ob x > 100 ist?

Es ging ja darum dass Rust dies anscheinend ohne Overhead automatisch 
prüft.

> Achso, es ging um Rust. Jepp, das kriegt
> Rust hin, zur Übersetzungszeit bereits, weil es den Rückgabewert von
> receiveUART() prüft und dann feststellt, ob er die Array-Grenze
> überschreiten kann.

Erstaunlich. Es kann in die Zukunft sehen welcher Wert über den UART 
reinkommt?

Carsten P. schrieb:
> Es liegt natürlich an deinem Naturelle, ob du damit leben kannst, dass
> dein Auftraggeber nach ein paar Toten und Schwerverletzten wegen einer
> falschen Programmierung von Airbags zigtausend Autos in die Werkstatt
> zurück rufen musst. Wenn du schlau warst, hast du jede Haftung
> ausgeschlossen im Vertrag...

Nur mal nebenbei gefragt, da es Airbags ja nun doch schon eine ganze 
Weile gibt: wie oft ist das denn bisher weltweit mal vorgekommen?

Oliver

Oliver S. schrieb:
> Nur mal nebenbei gefragt, da es Airbags ja nun doch schon eine ganze
> Weile gibt: wie oft ist das denn bisher weltweit mal vorgekommen?

Die sind wohl alle in Rust programmiert ;-)

Cyblord -. schrieb:
> Es ging ja darum dass Rust dies anscheinend ohne Overhead automatisch
> prüft.

Naja: es prüft mit einem vergleichbaren Overhead. Wenn der Test statisch 
machbar ist, hast du ihn zur Compilezeit, keine Frage. Lässt er sich nur 
zur Laufzeit ausführen, dann müsstest du ihn für ein sicheres C- (oder 
Assembler-)Programm dort ebenfalls zur Laufzeit durchführen, daher 
sollte der Overhead vergleichbar sein.

Cyblord -. schrieb:
> Carsten P. schrieb:
>
>> Du prüfst also nicht, ob x > 100 ist?
>
> Es ging ja darum dass Rust dies anscheinend ohne Overhead automatisch
> prüft.
>
>> Achso, es ging um Rust. Jepp, das kriegt
>> Rust hin, zur Übersetzungszeit bereits, weil es den Rückgabewert von
>> receiveUART() prüft und dann feststellt, ob er die Array-Grenze
>> überschreiten kann.
>
> Erstaunlich. Es kann in die Zukunft sehen welcher Wert über den UART
> reinkommt?

Ja, natürlich. Der Index von a ist maximal 99. Wenn receiveUART() ein 
uint8 zurückgibt, ist der größte Wert dort 255, also größer als 99.

Das ist doch kein Hexenwerk...

Cyblord -. schrieb:
>> Rust ist in diesem Aspekt nicht langsamer als C.
>
> Dann kann Rust in diesem Aspekt auch nicht sicherer sein.
> Laufzeitchecks gibt es nicht umsonst. Kann es nicht geben.

Ja, Ok. Ich habs verstanden. Du willst ganz offensichtlich nur 
provozieren und stellst dich bewusst dumm.
Ich beende das Spiel an dieser Stelle.

Nop schrieb:
> und zu allem Überfluß
> hat man den Stack auch noch nach unten hin auf die globalen Daten (oder
> den Heap) zuwachsen lassen. Das könnte wohl auch in Rust passieren,

Nein, kann es natürlich nicht.
Rust ist memory-safe. Das gilt selbstverständlich auch für den Stack.

Jörg W. schrieb:
> Naja: es prüft mit einem vergleichbaren Overhead. Wenn der Test statisch
> machbar ist, hast du ihn zur Compilezeit, keine Frage.

Wenigstens einer, der es verstanden hat. Ist aber auch gar nicht so 
schwer eigentlich :)

Nop schrieb:
> Echt? Der Compiler weiß beim Übersetzen, daß der Stack auf dem Target zu
> klein ist?

Das hat niemand behauptet.

Nop schrieb:
> Echt? Der Compiler weiß beim Übersetzen, daß der Stack auf dem Target zu
> klein ist? Glaube ich nicht.

Wissen tue ich es auch nicht, aber was hält den Compiler, auch bei 
genügend präzise angegebenen Targets als Cross-Compiler, davon ab, das 
zur Übersetzung zu wissen, wie groß der Stack werden darf? Wir reden 
hier von Embedded, ich jedenfalls, nicht von virtualisierten Maschinen 
auf virtualisierenden Servern.

Nop schrieb:
> Doch, hast Du gerade.

Bitte? Du weißt schon, dass man in einem Forum alles nachlesen kann und 
somit beweisen kann, dass ich es nicht behauptet habe?

Carsten P. schrieb:
> aber was hält den Compiler, auch bei genügend präzise angegebenen
> Targets als Cross-Compiler, davon ab, das zur Übersetzung zu wissen, wie
> groß der Stack werden darf?

Einerseits call trees, die von äußeren Einflüssen (beispielsweise 
Eingabegrößen) abhängen, andererseits natürlich Rekursionen. Bei 
Rekursionen kann er bestenfalls eine worst-case-Annahme treffen (wenn 
beispielsweise durch den Datentyp, der die Rekursion steuert, eine 
maximale Rekursionstiefe ermittelbar ist), aber die kann natürlich 
meilenweit über im praktischen Betrieb auftretenden realen Anforderungen 
dann liegen. Dann ist es zwar sicher, aber u.U. derart überalloziert, 
dass es auf der realen Maschine nicht mehr nutzbar ist, weil sie gar 
nicht so viel Speicher für den Stack bereitstellen kann.

Für eine virtual-memory-Architektur spielt das nicht so'ne große Geige 
(der Stack ist ja dann nur VM, und wenn der real nicht ausgenutzt wird, 
muss er nicht durch realen Speicher abgedeckt werden), aber auf einem 
kleinen Controller kann das ein Problem werden.

Sowas kann auch keine Sprache in sich absichern, wenn man derartige 
Probleme hat. Man kann dann höchstens Monte-Carlo-Simulationen 
durchspielen, die für typische Szenarien ermitteln, wieviel STack 
tatsächlich gebraucht wird. In einem realen System würde mann dann in 
irgendeiner Form eine "Notbremse" einbauen die greift, wenn sich 
herausstellt, dass der allozierte Stack doch mal nicht reicht (geht 
natürlich am einfachsten, wenn die Zielarchitektur eine MMU dafür 
anbietet).

Nop schrieb:
> Der Rust-Compiler verläßt sich genauso wie ein C-Compiler darauf, daß
> das Environment so funktioniert, wie es das sollte.

Nein, das ist halt ganz einfach falsch.
Rust geht in ein Panic (und damit in ein Recovery) bei einem 
Stacküberlauf.

Jörg W. schrieb:
> Einerseits call trees, die von äußeren Einflüssen (beispielsweise
> Eingabegrößen) abhängen, andererseits natürlich Rekursionen.

Japp. Korrekt. Anders als andere (einer) hier, behaupte ich auch nicht, 
dass sowas nicht möglich ist. Ich sage nur, dass ein gut geschneiderter 
Compiler sehr viel davon verhindern kann. Natürlich kannst du jede 
Laufzeit und jeden Compiler mit böser Absicht oder (wie du sagtest, 
Eingaben) genügend hilflosen Anwendern (Coder, die deinen Code linken, 
sind auch Anwender) in die Knie zwingen.

Da fehlt aber gerade in der Hardware noch eine Menge Hirnschmalz, gerade 
bei kleinen uCs, also dass sie Threads von sich aus ausknipsen, wenn sie 
gewisse Stack-Grenzen überschreiten.

Außer manchen (einem) behauptet ja aber auch niemand, dass Rust die 
einzige und perfekte Sprache/Laufzeit ist. Rust setzt an typischen 
Fehlerquellen an, wo ein Compiler bereits rein grätschen kann, und das 
ist, finde ich, ein sehr guter Ansatz. Natürlich wäre es süß, wenn auch 
ein AtTiny ne VM Umgebung herstellen könnte, aber dann würde er nicht 30 
Cent, sondern 5 Euro mindestens kosten. So dumm ich das Argument selber 
finde, so sehr zieht es doch einerseits durch den Kostendruck aus 
anderen Regionen dieser Welt ALS AUCH vom Gerede mancher Entwickler, 
dass das alles kein Problem sei.

Nop schrieb:
> das Beispiel des Toyota Camry ist
> ja bekannt, und da gab es Tote. Das lag allerdings nicht an einem
> C-Fehler, sondern an unzureichender Stackanalyse, und zu allem Überfluß
> hat man den Stack auch noch nach unten hin auf die globalen Daten (oder
> den Heap) zuwachsen lassen.

Hm. Du hast doch dafür sicherlich eine Quelle. Meines Wissens nach ist 
die ganze Sache dort sehr viel komplexer gewesen, und ist bis heute 
nicht abschließend geklärt.

> Das jünste Beispiel mit den Boeing-Abstürzen wiederum war auch kein
> C-Fehler, sondern ein Fehler im Systemdesign.

So war das wohl.

Rust mag ja einige haarsträubende Ecken von C(++) umschiffen, aber die 
Fehler, die in diesen realen Projekten gemacht wurden, hätte das auch 
nicht verhindert.

Oliver

Nop schrieb:
> Das tut er unter Linux, weil das Betriebssystem und die Runtime da noch
> mitspielen. Embedded und bare metal wird das so nichts werden.

Weil du das sagst?
Warum genau soll Rust nicht prüfen können, ob der Stack überläuft?

> Abgesehen
> davon wäre das auch kaum besser, wenn mitten während der
> Fahrzeugregulierung das Programm einfach mal neu startet.

Ja doch. Ein Neustart ist 1000 mal besser, als UB durch 
Memory-Corruption.
Neustarts von Steuergeräten während der Fahrt passieren "ständig" (d.h. 
öfter als du denkst).

https://play.rust-lang.org/?version=stable&mode=release&edition=2021&gist=6ba3452d2c1eeb9b3c9c3f3fa236b77a

> thread 'main' has overflowed its stack
> fatal runtime error: stack overflow

Komisch, gell?
Wo Rust das doch angeblich gar nicht erkennen kann?

Nop schrieb:
> Weil Rust explizit auf Geschwindigkeit und "kein Runtime-Overhead"
> entwickelt wurde, und bei jedem Dekrementieren des Stackpointers vorher
> einen Runtime-Check zu machen wäre ein erheblicher Runtime-Overhead.

Nein, wäre es nicht.
Das wäre eine einzige Abfrage pro Funktion. Im Mittel deutlich weniger.

> Die Speichersicherheit bezieht sich auf die Anwendung

Ja eben. Die Anwendung macht die Allokation.
Könnte die Anwendung durch Speicherallokation UB hervorrufen, wäre das 
"unsound". Unsoundness und UB gibt es in Rust nicht.

> Das, was Du als Beispiel brachtest, wird vom OS bereitgestellt,

Nein.

Nop schrieb:
> Denk mal drüber nach, wieso das überhaupt ein Runtime-Fehler ist und
> nicht ein Compiletime-Fehler, obwohl die Stack-Allokation in Deinem
> Beispiel ja offensichtlich statisch ist.

Ich habe nie gesagt, dass das ein Compiletime-Fehler ist.

> Das kommt daher, daß man über Guardpages geht, was auf Kernel-Level ein
> Segfault ist - blöd halt, wenn man gar keine Pages (und auch keinen
> Kernel) hat,

Es ist völlig unerheblich, ob ein Kernel existiert oder nicht.
Die x86/x64-Implementiertung nutzt eine Guardpage. Das ist ein 
MMU-Feature.
Das heißt aber nicht, dass man zwingend einen Kernel braucht.
Und es heißt auch nicht, dass man eine MMU braucht.
Man kann auch eine Memory-Protection-Unit verwenden. Oder wenn man die 
nicht hat, kann man den Stack in einen anderen ungültigen Bereich 
wachsen lassen.

Sicher wirds auch irgendwelche Architekturen geben, die gar keine Traps 
bereitstellen für sowas. Aber selbst dort kann der Compiler 
selbstverständlich eine architekturspezifische Abrage machen.

Macht Rust das derzeit bei allen Architekturen? Nein, denn...

> weil wir hier über embedded-Controller reden.

Wir reden hier hauptsächlich über Rust.
Dass Rust derzeit noch nicht "fertig" ist für alle Embeddedsysteme 
(kleiner als Raspberry Pi), schrieb ich ja bereits.

MaWin O. schrieb:

> Dass Rust derzeit noch nicht "fertig" ist für alle Embeddedsysteme
> (kleiner als Raspberry Pi), schrieb ich ja bereits.

Jaja, aber wir schwadronieren schon mal vorsorglich vom Ersetzen von C 
durch Rust.

Nop schrieb:
> Dir war klar, daß Dein Beispiel embedded gar nicht
> funktionieren würde, aber Du hast es trotzdem mal versucht

Ach komm...
Es wurde behauptet, dass Rust sowas grundsätzlich nicht erkennen kann.
Und das ist halt falsch.

Cyblord -. schrieb:
> Jaja, aber wir schwadronieren schon mal vorsorglich vom Ersetzen von C
> durch Rust.

Wir? Du?
Ich jedenfalls nicht. Kannst du ja gerne nachlesen.

Ich habe schon mehrfach betont, dass es mir egal ist, was ihr nutzt.

Nop schrieb:
> Mit derselben Logik wäre das bei C auch kein Problem gewesen

Richtig. Ich habe nicht behauptet, dass C das nicht auch kann.
Ihr wart aber diejenigen, die behauptet haben, Rust könne das nicht.

Nop schrieb:
> Was Du ja dann ja auch eingestanden hast

Oh bitte. Höre einfach damit auf mir Dinge in den Mund zu legen, die ich 
nie gesagt habe. Ok?
Man kann das hier alles nachlesen. Ok?
Gut.

Nop schrieb:
> Dann hör einfach auf, halbgaren Quatsch zu erzählen

Ja, genau. Höre du bitte auf damit. Ok? Die Diskussion ging nicht von 
mir aus. Ich habe nicht die Behauptung mit dem unbehandelbaren 
Stackoverflow (a.k.a. halbgarer Quatsch) ins Spiel gebracht.

Nop schrieb:
> Die Google-Stichworte lauten wenig überraschend:
> toyota camry stack overflow
> Da findest Du jede Menge dazu.

Eben nicht, daher frage ich ja. Ein Stack Overflow war eine der 
denkbaren Ursachen, neben einer Zillion anderen, die aus der Komplexität 
des Systems resultieren. Immerhin war das ein zweikanaliges 
Sicherheitssystem.

Da das Verfahren aber abgeschlossen ist, wird’s dazu auch keine neuen 
Erkenntnisse geben.

Oliver

Nop schrieb:
> Im Übrigen könnte man sich selbstverständlich auch einen hypothetischen
> C-Compiler denken, der vor jedem SP-Dekrement erstmal einen
> Runtime-Check macht.

Geht eigentlich nur, wenn die CPU-Architektur das hergibt (also 
letztlich durch eine MMU). Wenn man das mit Maschinenbefehlen manuell 
bewerkstelligen will, wird es nicht nur schnarchlangsam, sondern man hat 
gute Chancen, dass man schon mal irgendein Register auf den Stack pushen 
muss, um überhaupt erstmal Platz für den Test zu haben …

Dann ist es aber ganz unabhängig von der Sprache implementierbar (auch 
auf Controllern mit MMU, aber das sind halt nicht mehr die 
allerkleinsten).

Da kommt einem aber sofort wieder "Steinbach's guideline of systems 
programming" in den Sinn … die klingt zwar hart, aber wenn man auf einem 
Controller gar keinen sinnvollen Ausweg hat, weil man nur noch zwischen 
Pest (undefined behaviour) und Cholera (spontaneous reboot) wählen kann, 
dann hat man im konkreten Fall eh ein Problem.

Nop schrieb:
> Das wäre leicht abzufrühstücken
> Das kann man aber mit statischer Stackanalyse in den Griff kriegen.

Das ist ja erstaunlich, wie schnell du von

- das geht gar nicht!
- Das kann der Compiler prinzipiell nicht, weil Linker und überhaupt ist 
das gar nicht bekannt wie groß der Stack ist!
- Rust kann das überhaupt nicht!
- Du unterstellst mir bewusste Irreführung.

dich wandelst zu:
> Das wäre leicht abzufrühstücken
> Das kann man aber mit statischer Stackanalyse in den Griff kriegen.

Nop schrieb:
> Oliver S. schrieb:
>
>> Eben nicht
>
> Du mußt die Links natürlich auch schon anklicken. ;-) Etwa diesen hier:
> 
https://embeddedgurus.com/state-space/2014/02/are-we-shooting-ourselves-in-the-foot-with-stack-overflow/

Habe ich. Und sogar gelesen. Die darin zitierte Untersuchung und auch 
den Foliensatz kannte ich schon vorher.

Da steht drin, daß ein Stackoverflow eine wahrscheinliche Ursache 
gewesen sein könnte, und als Bewies wird angeführt, daß die Misra nicht 
eingehalten haben. Bewiesen ist der Fehler nicht, und schon gar keine 
schuldige Codestelle identifiziert. Es steht auch drin, daß auch 
Hardwarefehler, kippende Bits, und ein Haufen anderer schöner Dinge die 
Ursache hätten sein können. Andere Untersuchungen zeigen, daß auch deren 
real-time-Annahmen auf die Kante genäht waren, usw.

Toyota sagt, daß deren fail safe System all diese Fehler abgefangen 
hätte, kann das aber auch nicht beweisen.

Fest steht mir, daß Rust an all dem nichts geändert hätte. Die Probleme 
liegen alle oberhalb der von Rust eingezogenen Sicherheitsebene.

Oliver

Oliver S. schrieb:
> Fest steht mir, daß Rust an all dem nichts geändert hätte. Die Probleme
> liegen alle oberhalb der von Rust eingezogenen Sicherheitsebene.

Ja, das ist ziemlich wahrscheinlich.
Es geht bei Rust ja erst einmal auch nicht um Safety, sondern um 
Security.
Das sind zwei grundverschiedene Dinge, auch wenn die Ursachen für 
Safety-Fehlfunktionen denen von Security-Fehlfunktionen ähneln können. 
Im Systemdesign unterscheiden die Gegenmaßnahmen sich aber erheblich.

Nop schrieb:
> "Speichersicherheit ohne Runtime-Overhead". Du
> wirst Dich erinnern, daß dies eines der zentralen Rust-Features ist.

Niemand hat behauptet, dass Speichersicherheit grundsätzlich ohne 
Runtime-Overhead in Rust realisiert ist. Und schon gar nicht, dass dies 
ein zentrales Rust-Feature ist.
Bitte bleibe bei der Wahrheit. Man kann hier alles nachlesen, was du im 
Nachhinein falsch verdrehst.

Speichersicherheit mit wenig Runtime-Overhead, im Mittel vergleichbar 
mit dem Overhead, den man in korrekten C-Programmen auch hätte. Das ist 
eines der zentralen Rust-Features. Und nichts anderes wurde hier gesagt.

Nop schrieb:
> nach diversen Versuchen des Rauswindens dann eingestanden hast.

Das kannst du mehrfach behaupten, aber es stimmt halt nicht.
Du kannst hier im Thread nachlesen, wie ich schon vor einiger Zeit 
gesagt habe, dass Rust derzeit noch nicht auf kleinen Embedded-Systemen 
stabil ist. Das gilt nach wie vor.
Und das war lange bevor du deine Nebelkerzen zum Stackoverflow gezündet 
hast.

> Ein korrektes C-Programm braucht keinerlei Stacküberprüfung zu machen,
> weil eine dem C-Standard entsprechende Umgebung compilerseitig
> vorausgesetzt wird. Also genauso wie bei Rust und bare metal.

Wo ist dann dein Problem?

Es wurde hier behauptet, dass ein Rustprogramm grundsätzlich keine 
Stackprüfung machen könne. Ich habe bewiesen, dass es doch eine Prüfung 
macht. Du hast halt Unrecht gehabt. Passiert jedem mal. Nicht schlimm.

Ich habe nichts über C gesagt. Ich habe nicht gesagt, was besser und was 
schlechter ist.

Nop schrieb im Beitrag #6930724:
> Leider schon wieder gelogen.

Warum greifst du mich persönlich an?

> Der resultierende Segfault im Kernel ist ohne OS-Unterstützung so nicht drin.

Selbstverständlich ist das ohne Kernelunterstützung implementierbar.
Glaubst du der Kernel wäre etwas magisches, was irgendwas aus dem Hut 
zaubert?

Es ist sogar ohne MMU-Unterstützung implementierbar, wenn die Hardware 
minimalste Protection-Mechanismen hat.
Und es ist auch ohne MPU implementierbar, wenn man den Stack so 
platzieren kann, dass beim Überlauf ein Zugriff auf einen ungültigen 
Bereich stattfindet und dieser ein Trap auslöst.
Und es ist auch ohne Trap lösbar, indem man alle Stackveränderungen ganz 
einfach prüft.

Nop schrieb:
> Der Calltree ist größenteils bekannt, dann noch Interrupts in
> worst-case-Schachtelung, und ein paar Calls, die über Funktionszeiger
> gehen können.

Klappt halt so nur, solange die Stacknutzung nicht zu stark von den 
(nicht exakt vorhersagbaren) Eingabedaten abhängt.

Klar, alles was statisch machbar ist, ist eh immer am einfachsten.

Im Zweifelsfalle, wenn man Sicherheit braucht, darf dann aber eben auch 
die Hardware weder von der Geschwindigkeit noch vom Speicherausbau „auf 
Kante genäht“ sein.

Aber ja, mit Rust hat das alles jetzt nichts mehr zu tun. :-)

Kann schon sein, dass Rust auch in diesem Bereich künftig noch an Boden 
gewinnt, aber im Moment sehe ich das noch nicht um die Ecke lugen. Ein 
Auftraggeber, für den ich letztens gearbeitet habe (mit durchaus sehr 
experimentierfreudigen Entwicklern), hatte es für eine Embedded-Lösung 
auf deutlich höherem Niveau (embedded Linux auf größerer STM-Plattform) 
initial in Erwägung gezogen, aber dann doch wieder verworfen und 
herkömmlich in C++ gearbeitet. Bei denen ist auch funktionale Sicherheit 
ein Thema, und der ganze Krams muss dann durch eine Zertifizierung 
durch.

Bzgl. gelöschte Beiträge: Bitte freundlich bleiben, andere der Lüge zu 
bezichtigen ist kein Teil einer sachlichen Diskussion.

Nop schrieb:
> ohne ISO-Standard sehe ich den auch nicht

Ein ISO-Standard wiederum ist ein ganz schön großer Haufen an Arbeit, 
die keinerlei "Hack value" hat. Einfach nur Arbeit, administrativ, 
editorisch.

Aber man könnte ihn – anders als bei Pascal – ja an den realen Features 
des existierenden Compilers fest machen. :)

Moin,

Huch, hier war ja richtig was los die Tage...

Nop schrieb:
> Mehr Sorgenfelder sehe ich darin, daß es nur einen einzigen Compiler
> gibt, der zugleich auch noch der Sprachstandard ist, so daß man nichtmal
> einen Compilerbug von einem Sprachfeature unterscheiden kann.
> Kommerzieller Support ist auch nicht drin. Ein zertifizierter Compiler
> ist in weiter Ferne, und ohne ISO-Standard sehe ich den auch nicht.

Ja, und dagegen hilft auch das gebetsmuehlenhafte Vortragen von "Nein, 
man muss ja kein Cargo nehmen..." auch von allen hier auftretenden 
MaWins nicht wirklich.

Es aendern sich die Compilerversionen noch schneller als gute Entwicker 
ihre Unterhosen und Socken wechseln - ich glaub' bei sowas sollte auch 
der Diplom-Informatiker mit Fachrichtung Projektkasper doch mal kurz ins 
Gruebeln kommen, wie er dann, wenn er sowas aus Sicherheitsgruenden 
einsetzt, Probleme seinen Scheffs verkaufen will...

Gruss
WK

Dergute W. schrieb:
> Es aendern sich die Compilerversionen noch schneller als gute Entwicker
> ihre Unterhosen und Socken wechseln

Das würde sich übrigens ganz schnell geben, wenn man ein 
Standardisierungsgremium dafür aufbaut. Nur mal so, für den nächstes 
Jahr zu veröffentlichen C-Standard (C23) war Annahmeschluss für die 
letzten Papers, die neue Features einbringen können, im Oktober 2021. Im 
Laufe dieses Jahrs werden diese noch zu Ende gefeilt, und ab Sommer 2022 
muss dann der eigentliche Formalismus für die Standardisierungsgremien 
(ISO, IEC, INCITS) in die Wege geleitet werden, damit der Standard 
nächstes Jahr fertig ist.

Dabei ist die WG14 noch insgesamt recht wenig bürokratisch: bei den 
normalen Sitzungen gibt es keine formalen Abstimmungen (ballot), sondern 
nur Meinungsumfragen (straw polls), bei denen die Mehrheit der 
Anwesenden (also auch Gäste) entscheidet, da die jeweils Anwesenden als 
Expertengremium gehandhabt werden. Ergebnisse werden natürlich nur dann 
angenommen, wenn diese Umfragen eine hinreichend klare Linie ergeben, 
ansonsten muss der Antrag ggf. umformuliert und neu gestellt werden.

MaWin schrieb:
> Das ist nur nötig

Sorry, aber du erzählst gerade Unsinn. Das hat mit C absolut nichts zu 
tun, sondern mit der Wirkungsweise von Standardisierungsgremien.

(Außerdem beweist deine Aussage über Nicht-Rückwärtskompatibilität von C 
höchstens, dass du diese Sprache nicht einmal kannst, geschweige denn 
ihre Standards. Aber der Thread hier ist natürlich nicht für die 
Diskussion über C da.)

MaWin schrieb:
> Es geht vielmehr darum, dass der Verkauf das Zertifikat-Label auf das
> Produkt drucken darf und die QM-Abteilung ruhiggestellt wird.

Also, MaWin mit oder ohne O, ich habe bisher einiges Nachdenkenswertes 
von dir gelesen, auch ein paar kluge Einwände, aber das ist jetzt echt 
mal kompletter Schwachsinn.

Das, was du hier gerade schwafelst, ist, als wären Schuhgrößen, weil sie 
genormt und innerhalb der EU durch Standards diese Normen 
vereinheitlicht wurden, Unsinn. Also, du sagst, Normen, Zertifizierungen 
dieser Normen sind egal. Das würde z.B. bedeuten, dass du heute in 
München wohnst z.B., dort in einem Laden Schuhe in der Größe 42 kaufen 
kannst, im Laden nebenan knapp noch, irgendwas zwischen 41 und 43, dann 
ziehst du um nach Hamburg, dort heißen die Schuhgrößen Alpha, Beta, 
Gamma und Omikron, und aufgrund der Geschichte mit der Hanse sind die 
Tragweiten mit kyrillischen Buchstaben ausgezeichnet.

Selbstverständlich gibt es in Hamburg Normen für Sohlen, die aber nur im 
Stadtgebiet von Hamburg und in einigen, aber nicht allen anderen 
Hansestädten gelten, was die Sicherheit angeht, falls sich die Sohle 
löst und du dir auf dem nicht weiter genormten Kopfsteinpflaster das 
Kinn brichst.

Wenn du die Idee der Normen grundsätzlich ablehnst, ist das deine Sache. 
Wenn du aber die Idee der Zertifizierung entlang dieser Normen ablehnst, 
möchte ich nichtmal auf der Rückbank eines Taxis neben dir sitzen.

MaWin schrieb:
> Wenn du den Rustcompiler zertifizieren willst, kannst du das gerne tun.

Gegen was willst du den denn zertifizieren, wenn es keinen Standard 
gibt?

Vielleicht muß man nur geduldig sein. Gut Ding braucht Weil. War bei 
anderen Sprachen nicht anders.

Ich habe mir deren Webseite angesehen und gelesen, daß eine STM32 Bord 
unter Rust praktisch demonstriert wird. Hat jemand von Euch damit schon 
herum gespielt?

Wie gut wird sich Rust für kleinere uC bewähren? Gibt es Gründe warum 
Rust nicht auf kleinen 8-Bittern laufen wird? Oder ist da C/C++ momentan 
doch noch die beste Wahl.

Ich bin an Rust schon etwas interessiert. Nur habe ich wenig Motivation 
Pionierarbeit oder mich mit schwierigen Problemen herumschlagen zu 
müssen. Normalerweise liegt es mir daran mit iC Probleme zu lösen 
anstatt lösen zu müssen. Ich bin sicher, daß sich in ein paar Jahren die 
augenblicklichen Wogen legen werden und man Platform gerechte Lösungen 
finden wird.

Schön wäre es schon, wenn man ein Rust Entwicklungssystem hätte ohne 
große Überraschungen und mit guten Low-Level Support. So wie es halt bei 
allen anderen uC der Fall ist. Es scheint, momentan wäre die STM32 
Familie die einzige uC Familie die unterstützt wird.

Ich wäre sehr an praktischen Erfolgsberichten interessiert. Also z.B. 
"Ich baute mir ein Gadget mit Rust auf STM32" und Informationen über die 
Erfahrungen durchs Projekt hindurch.

Im Augenblick theoretisiert Ihr mir eigentlich zu viel und zu viele 
Generalitäten werden hin und her geworfen. Wenn Rust wirklich Fuß fassen 
sollen brauchen viele von uns doch konkrete Anhaltspunkte wie es anderen 
wagemutigeren Wegbereitern gegangen ist und wie man die anfänglichen 
Ungewissheiten beseitigen könnte. Es ist nicht genug wenn nur die Gurus 
und Genies unter Euch damit Erfolge erzielen. Wir sollten wirklich 
vermeiden "Fanboys" zu sein und uns anstatt gegenseitig so gut es geht 
mit Fakten untereinander helfen und Erfahrungen austauschen.

Was mich betrifft, hätte ich an Rust nur im uC embedded Bereich 
praktisches Interesse.

Gerhard O. schrieb:
> Gut Ding braucht Weil.

Sei mir bitte nicht böse, Gerhard O., wenn ich dich nicht nur wörtlich, 
sondern Buchstabe für Buchstabe zitiere, denn "gut Ding braucht Weil!". 
Das ist ein sehr kluger Satz. Vielleicht hast du das "e" vergessen für 
deine Aussage, aber ich bleibe bei der, die du abgeschickt hast: "Gut 
Ding braucht Weil!".

Das ist in etwa das, etwas anders, aber auf den Punkt formuliert, was 
man Wissenschaft nennt, vor allem Naturwissenschaft.

Frage stets "Weil? Warum?"! Und lasse niemals locker, auch wenn dein 
Gegenüber genervt ist. Warum? Weil es nicht um dein Gegenüber geht, 
sondern um das Thema. Nicht um die Wahrheit an sich. Warum nicht? Weil 
es keine Wahrheit an sich gibt, sondern nur mehr oder weniger gute und 
überprüfbare Versuche, sich ihr anzunähern. Dass es eine einzige 
Wahrheit gibt, behaupten nur der Papst und Spaziergänger.

Carsten P. schrieb:
> Gerhard O. schrieb:
>> Gut Ding braucht Weil.
>
> Sei mir bitte nicht böse, Gerhard O., wenn ich dich nicht nur wörtlich,
> sondern Buchstabe für Buchstabe zitiere, denn "gut Ding braucht Weil!".
> Das ist ein sehr kluger Satz. Vielleicht hast du das "e" vergessen für
> deine Aussage, aber ich bleibe bei der, die du abgeschickt hast: "Gut
> Ding braucht Weil!".
>
Obwohl ich Dir im Weiteren vollkommen zustimme, habe ich mein Zitat nur 
im herkömmlichen Sinn gemeint, daß man eben Rust die Gelegenheit geben 
sollte erwachsen und reifer zu werden und daß das Zeit braucht. In zehn 
Jahren wird sich noch viel ergeben. So kann ich leider nicht das 
Kompliment annehmen:-)

Ich möchte vorerst mich mit der Entwicklungsumgebung befassen um die 
Werkzeuge unter Windows in den Griff zu bekommen. Eigenbau STM32 HW habe 
ich auch. Es ist mir wichtig die Tool Chain zum Laufen zu bringen. Die 
Sprache selber ist ja ziemlich intuitiv wenn man mal von den Pragmas 
absieht die man lernen muß. Da sehe ich für mich eher die größeren 
Schwierigkeiten. Dafür sind aber die Online Dokus da. Die Tricks wird 
man man sowieso in Kollaboration mit Mitstreitern lernen müssen und 
vielleicht miteinander teilen können.

An STMrust,

Vielen Dank für Deine Hinweise. Ich habe mir schon die embedded Doku 
angesehen.

MaWin schrieb:
> Nop schrieb:
>> Die Qualität ist überhaupt nicht meßbar, wenn es keinen Standard gibt
>
> Qualität ist die Abwesenheit von Kundenreklamationen.

Dann ist die Abwesenheit von Kunden auch Qualität. Super Logik.

Mombert H. schrieb:

>> Qualität ist die Abwesenheit von Kundenreklamationen.
>
> Dann ist die Abwesenheit von Kunden auch Qualität. Super Logik.

Musst du sie noch auf die Gesamtkundenzahl beziehen, dann passt das 
schon.

Könnte natürlich sein, dass C-Compiler dann dank ihrer großen Kundenzahl 
verdammt gut abschneiden. ;-)

Jörg W. schrieb:
> Mombert H. schrieb:
>>> Qualität ist die Abwesenheit von Kundenreklamationen.
>> Dann ist die Abwesenheit von Kunden auch Qualität. Super Logik.
> Musst du sie noch auf die Gesamtkundenzahl beziehen, dann passt das
> schon.
> Könnte natürlich sein, dass C-Compiler dann dank ihrer großen Kundenzahl
> verdammt gut abschneiden. ;-)
Vorher müsste man klären was genau mit Kunde gemeint ist. Wenn ich clang 
oder gcc nutze sehe ich mich nicht als Kunde. Nur wenn ich ifort nutze 
sehe ich mich aktuell als Kunde und das macht weniger als 5% meiner Zeit 
aus.

Mombert H. schrieb:
> Vorher müsste man klären was genau mit Kunde gemeint ist.

Nenne sie von mir aus „aktive Nutzer“. Streng genommen müsstest du 
natürlich noch die Nutzungshäufigkeit mit einbeziehen, denn je häufiger 
du sie nutzt, um so größer die Wahrscheinlichkeit, mal auf ein Problem 
damit zu stoßen.

MaWin schrieb:
> Mombert H. schrieb:
>> Wenn ich clang oder gcc nutze sehe ich mich nicht als Kunde.
>
> Krass.
> Das sagt mehr über dich aus, als über clang, gcc und den Rest der Welt.
Dann erleuchte mal die Welt und gib uns deine Definiton von Kunde.