А теперь о Ruby и Redmine

[metaclass]

Я таки нашел, в чем причина вот этого бага:
no method error [] for class nil
https://bugs.launchpad.net/ubuntu/+source/ruby1.8/+bug/949011

Вкратце: недавно в большинстве реализаций хэш таблиц была найдена имманентная уязвимость к потенциальным DDOS атакам на веб-приложения, связанная с тем что атакующий мог посылать запросы такого вида, что внутри приложения они приводили к обращению к хэш-таблице всегда к одному bucket. Т.е. передавать ключи, которые после обработки hash-функцией всегда давали одно и то же значение, убивая эту таблицу из O(1) в O(N) и съедая тем самым процессор.

В руби это дело исправили:
https://launchpad.net/ubuntu/+source/ruby1.8/1.8.7.249-2ubuntu0.1
http://launchpadlibrarian.net/94639065/ruby1.8_1.8.7.249-2_1.8.7.249-2ubuntu0.1.diff.gz

конкретно эти строки:
++extern unsigned long rb_genrand_int32(void);
++
++void
++Init_st(void)
++{
++ hash_seed = rb_genrand_int32();
++}

+- register int key = 0;
++ register unsigned long key = hash_seed;

Формально, в норме бы ничего не поменялось, после этого.
НО: в редмайне оказалось место, где работа зависит от порядка элементов в хэше:
/usr/share/redmine/app/models/setting.rb,166
setting ||= new(:name => name, :value => @@available_settings[name]['default'])

тут происходит примерно такое: создается новый объект Setting и ему устанавливаются атрибуты name и value. И, это ключевой момент, установка атрибута value ЗАВИСИТ от наличия уже установленного атрибута name:

  def value=(v)
    v = v.to_yaml if v && @@available_settings[name]['serialized']
    write_attribute(:value, v.to_s)
  end

т.е. оно использует name чтобы получить значение по умолчанию из @@available_settings и далее пытается из него получить значение атрибута 'serialized'

Раньше это работало, а после секьюрити-фикса - работает в зависимости от rb_genrand_int32.

Так что ошибка, вообще говоря, в редмайне. Надеятся на порядок в хэш-таблице, это бред.

PS: а вот и фикс, месяц назад: http://www.redmine.org/projects/redmine/repository/revisions/8909/diff/trunk/app/models/setting.rb

Comments

[avnik.livejournal.com]

Равнение на идиотов -- это правильно.

PS Пока что из языков только питон предсказуем до тошноты, может луа еще (хотя там в стандартных библиотеках undefined поведение местами)

[x-a-e-p.livejournal.com]

питон пусть с таймзонами работать научится сначала нормально, ну и нифига он не предсказуем(например, изменения в 3.x по сравнению с 2.x).
lua да, весьма стабилен, хотя тут ещё все зависит от конкретной реализации

[avnik.livejournal.com]

Во первых про совместимость 2-3 говорили за несколько лет до выхода питонов 3.x, ,было заранее известно -- что поменяют, и есть __future__ и six которые покрывают большую часть несовместимостей, до фига кода, который работает в обоих питонах.

У луа проблемы изменно в совместимости между реализациями. И на все что не описано в programming lua закрывают глаза, и делают вид что его нет (и я кстати именно про таймзоны)

PS А что у питона не так с таймзонами?
PPS С таймзонами все не так -- надо всем жить по гринвичу

[x-a-e-p.livejournal.com]

про питон и таймзоны - их datetime не имеет понятия о базе таймзон, и о том что они могут меняться. Из-за этого возникает масса проблем, а про pytz поди узнай сначала, ведь datetime обещает те же самые функции.

[theiced.livejournal.com]

ага, предсказуем. особенно когда кто нить где нить поставить один табик в исходниках. то то будет веселуха ;]

[fraks-nsk.livejournal.com]

А что за претензии к табику?
Вы в сях где-нибудь поставье лишнюю скобочку - будет ровно то же самое.
И там и там - один символ.

[theiced.livejournal.com]

си не скомпилятся а петон будет работать. тока не так как ожидается.

везде проблеы и один табик, очень ок.

[metaclass.livejournal.com]

Скобочку я хоть вижу, в логах да диффах, да и баланс скобок проверить гораздо проще.

[nivanych.livejournal.com]

Надо подсветку синтаксиса, табики подсвечивать по-особенному! ;-)

[wizzard]

дык во всех нормальных редакторах табики, & nbsp;, CR/LF/CRLF/NL/PS/LS, EOF, FEFF и прочая невидибня уже давно подсвечивается по-разному (как минимум VS, SciTe, Sublime, eTextEditor)

[nivanych.livejournal.com]

;-) Не знаю, что это за редакторы. И почему в списке нет emacs или vim.

[wizzard]

Потому что лично для меня под Windows работать продуктивнее, а скриптовать Sublime питоном приятнее, чем скриптовать Emacs elisp'ом.

Зачем приводить ссылки на редакторы, существенного опыта работы с которыми не имеется? Хотя, в емаксе такое тоже было, ЕМНИП.

[avnik.livejournal.com]

Ребе, а вы специально табики ставите -- чтобы попсеть?
Уже никто их не ставит, никогда.
У меня они запрещены -- в редакторе -- раз, прекоммит-хуком два.

[theiced.livejournal.com]

а у кого то разрешены. и от поставит. в либе на 400 килобайт в одном месте. и вы ПОСЕДЕЕТЕ пока найдёте.

[avnik.livejournal.com]

git filter-branch -f --prune-empty --tree-filter "find . -name \*.py -a -type f | xargs /home/avn/bin/reindent.py -n" stage..tmpmerge
(reindent -- скрипт из стандартной поставки петона,

Я пару раз импортил ветки от таких умельцев ;)

PS du -sh ./eggs -- 37mb, табов нету.

[(Anonymous)]

пфф.
руби бы сильно выиграл от табовой разметки.


c:wicked ayerrow

[metaclass.livejournal.com]

От отступов да, но не от смеси табов и пробелов.

[mend0za.livejournal.com]

Имеется в виду предсказуемость синтаксиса или поведения питона?

С синтаксисом питона как раз плохо, пока не заучишь N странных конструкций (оптимизированных для интерпретатора, а не человека) не взлетишь.

[avnik.livejournal.com]

Поведение, но там и с синтаксисом все предсказуемо.
Там только декораторы выглядят марсианскими (но все равно к ним быстро привыкаешь) -- но они как я понимаю тянуты из джавы целиком

[mend0za.livejournal.com]

Была уже в G+ заруба про синтаксическую дичь питоновскую.
https://plus.google.com/111512356605658929685/posts/Ry4Kpdd9cfx

Плавно с около-руби тем свернули на питон.
Влом повторяться.