J’en avais parlé dans de précédents commentaires avec sr17 et harmattanblow.

Le M# est un langage derivé de c# qui est type et memory safe mais qui obtient les mêmes performances que le C++.



Joe duffy l’explique clairement. Les débats sur le sujet comparaient à l’implémentation actuelle du .NET. Mais ca ne marche pas du tout pareil. Joe duffy expose plusieurs points:



1)ce n’est pas de la compilation JIT mais un compilateur ahead of time. le codé est compilé directement en natif.



2)L’autre point débattu à l’époque c’était les mauvaises performances du garbage collector actuel. Visiblement ils ont travaillé dessus.



3)Le point majeur débattu: Avec des langages manages il y a une vérification des dépassement de tableaux par défaut pour éviter les buffer overflow. J’expliquais que ce serait largement compensé par de fortes optimisations avec le compilateur. C’est confirmé ici:





It is true that bounds checking is non-negotiable, and that we prefer overflow checking by default. It’s surprising what a good optimizing compiler can do here, versus JIT compiling.



Se renseigner aussi sur le tree shaking qui est une des optimisations importantes. Voir ici



De toute façon quand on voit le nombre de failles dans les navigateurs web par exemple ça prouve bien qu’on peut pas compter sur les développeurs pour éviter de pondre des failles.

1. un autre aspect qui n’a pas encore été abordé par joe duffy pour le moment ,ce langage a été conçu pour la programmation many core.
   
   
   
   Au final M# devrait bien obtenir les performances nécessaires pour la programmation système.
   
   
   
   Je finirai sur le fait que joe duffy l’a annoncé clairement qu’il est arrivé au but. C’est fort probable que des milliers de développeurs vérifieront ses propos.

metaphore54 a écrit :



Je répondrais avant de mettre un " /> attendons que :





Tu crois qu’il va salir sa réputation en annonçant des trucs faux. De toute façon même quand ça sortira certains resteront toujours dans le deni….

francois-battail a écrit :



C’est vrai. Mettre un garbage collector dans un système élimine toute application temps réel vu que ce n’est plus déterministe, ensuite un langage managé est absolument inutilisable pour du code système vu que nécessairement il faut du « code sale » pour travailler au niveau du hard. Ce « code sale » (natif) sera signé Microsoft et enlèvera toute possibilité à des développeurs tiers de développer des choses un peu tricky sans passer par un circuit de certification Microsoft.

Ça fait plus de 25 ans que je vois passer des trucs où on cherche à protéger le système du développeur, quand - comme moi - on a fait pas mal de système il est difficile de prendre ça au sérieux.





Pour le gc tu devrais lire le billet de joe duffy ils ont fait un gc deterministe.

Pour le code natif restant et le fait qu’il ne peut pas etre prouve j’ai répondu dans mon commentaire précédent.

127.0.0.1 a écrit :



hum… C’est pas si simple.



Faut différencier deux types de failles:

1. La faille du browser web qui permet d’exécuter du code arbitraire
   


2. La faille de l’OS qui permet à une application d’accéder à des ressources non-autorisées (API, fichiers, interfaces…)
   
   
   
   Pour le premier type de faille, il est vrai que du simple “bound-checking” éviterait beaucoup d’attaques par débordement de buffer. Mais pas besoin de créer un nouvel OS pour cela (même si c’est un moyen draconien).
   
   
   
   Pour le second type de faille, du tree-shaking empêcherait l’appli “vérolée” d’accéder a des API qui ne sont pas utilisées/autorisées. Mais un browser web utilise/autorise l’accès au API réseau, aux fichiers, … Donc ca n’empêcherai pas l’appli “vérolée” de voler/modifier des données, par exemple.
   
   
   
   Enfin bon, je suis impatient de voir ce que ca peut donner… Même si je suppose que l’adoption sur PC risque d’être freinée par l’obligation de renoncer à l’éco-système existant (sauf virtualisation/émulation).
   
   
   
   
   
   Effectivement le 1 sera réglé par le langage et le 2 par l’os (ce n’est plus windows le fonctionnement differe)

En fait la news en parle,c’est que j’avais prédis à l’époque dans le dossier sur Windows 8. WinRT a été conçu pour tourner au dessus de Midori.

Pour Win32 il y a drawbridge.

francois-battail a écrit :



Je ne suis pas certain d’avoir lu le bon billet, mais le jour où ce sera conforme à DO-178A on aura l’occasion d’en reparler.







J’attends avec impatience du Midori sur des micro-contrôleurs 8 ou 16 bits… mais pour le moment le C et l’assembleur (et pas le C++) pour du système ça convient parfaitement, après utiliser une couche d’abstraction en managé pour une interface graphique et des APIs pourquoi pas mais là on est au niveau de l’applicatif.







Lifetime understanding. C++ has RAII, deterministic destruction, and efficient allocation of objects. C# and Java both coax developers into relying too heavily on the GC heap, and offers only “loose” support for deterministic destruction via IDisposable. Part of what my team does is regularly convert C# programs to this new language, and it’s not uncommon for us to encounter 30-50% time spent in GC. For servers, this kills throughput; for clients, it degrades the experience, by injecting latency into the interaction. We’ve stolen a page from C++ — in areas like rvalue references, move semantics, destruction, references / borrowing — and yet retained the necessary elements of safety, and merged them with ideas from functional languages. This allows us to aggressively stack allocate objects, deterministically destruct, and more.

Tout à fait : on vérifie en amont que tout le monde est honnête et du coup plus besoin de flics. Dit comme ça ça n’a pas l’air très sûr mais en fait ça l’est beaucoup plus que le système actuel.



Bien résumé c’est le principe de fonctionnement de singularity et Midori " />

Avec Windows on laisse faire et on tente de protéger les dégats avec plein de garde fous.



Avec Singularity/midori on établit les règles du départ. Du coup pas besoin de garde fous inutiles.

HarmattanBlow a écrit :



Comme je l’ai dit dans un précédent message, par “certifier” ou “vérifier” on entend uniquement que :

* Le processus n’accède qu’à sa propre mémoire et n’écrit que dans sa propre zone de données.

* Le processus n’exécute aucune des instructions interdites.



Si je ne m’abuse ces deux conditions sont suffisantes et nécessaires pour une exécution en ring 0 sans compromettre la sécurité. Or on peut mettre au point des règles (un bytecode) qui rendent toujours vérifiables ces hypothèses. Et de là créer / adapter plusieurs langages pour les rendre vérifiables.



Quant à certifier le résultat, ça n’a pas d’intérêt pour le problème posé et ce serait effectivement équivalent au problème indécidable de l’arrêt.





Mais si c’est possible. ;)

La communication inter-processus est régulée par quelques contrats que les applications peuvent déclarer et souscrire. Ceux-ci sont définis de façon rigide en définissant toutes les étapes de la conversation et les données échangées à chaque étape, et le système peut vérifier que chacun implémente correctement sa part de la communication.



Le système est même, cadeau bonus non-nécessaire, capable de détecter les deadlocks dans la conversation, les cas non-couverts où l’interférence entre plusieurs applications afin de pouvoir signaler à l’utilisateur que telle application compromettra le fonctionnement de telle autre.



Concernant le débogueur, concrètement celui-ci exposera donc un contrat lui donnant accès à toute la mémoire du souscripteur et le compilateur insèrera en mode debug une souscription à ce contrat dans l’application générée.



Tant que c’est entre adultes consentants, tout est permis.





Tu ne penses pas que cette méthode pourrait être utilisée pour gérer la compilation JIT pour les navigateurs web par exemple? Le problème c’est qu’à la base c’est interdit par singularity et Midori. Mais j’imagine bien que Microsoft avait prévu un truc pour ce problème.

HarmattanBlow a écrit :



Midori interdit la modification de l’espace de code par le processus lui-même parce que le processus ne serait plus vérifiable. Mais il y a une solution très simple : soumettre un flux TAL, vérifiable, au noyau. En effet l’ajout d’un code certifié ne peut logiquement pas compromettre la certification du code existant. Le noyau pourrait alors se charger de patcher un SIP existant ou de créer un SIP à la volée, puisque le coût de ces derniers est quasi-nul. Ce type de scénario est parfaitement envisageable.



A vrai dire les deux variantes seraient nécessaires pour un navigateur : un processus par page pour cloisonner les données, puis un patch à la volée parce qu’il n’est pas possible de compiler entièrement le javascript faute d’informations sur le typage, celui-ci n’étant entièrement connu qu’à l’exécution. Et comme il faut partager les données mieux vaut avoir un seul SIP par page plutôt qu’un SIP par fonction !





Pas con merci pour ta réponse " />

Khalev a écrit :



T’as des liens vers ces brevets? Parce que jusqu’à présent quand je te lis j’ai plus l’impression de lire un fanboy sans esprit critique qui croit tout ce que lui dit le grand Microsoft que quelqu’un de vraiment raisonné.

Un peu de sources sur tes dires serait bienvenu (et permettrait de mettre tout le monde à niveau). Comme le dit HarmattanBlow, on a pas tous le temps de faire un veille exhaustive.





je pense que j’ai donné pas mal de liens et de sources sur cette news. Je te réponds juste pour te dire que j’ai retrouvé le brevet en question:

http://www.freepatentsonline.com/7673109.html



Ce brevet parle d’une techno qui sert à faire communiquer du code unsafe avec des composants haut niveau en safe code de façon sure.

Sebdraluorg a écrit :



Wep, j’ai bien lu ce que disait harmattanblow, mais visiblement quelques chose m’échappe… " />



J’ai pas lu le pdf du projet, mais tu dis qu’il passe de js à .Net, tu veux dire quoi au juste par .Net ?



Si tu peux aller de js vers .NET (et donc typé) il n’y a plus d’obstacle pour faire un “patch” à la volée, si ?





Par .net j’appelle le code CIL(pseudo code .net).

Faut que je relise mais une partie du code .net généré est converti en natif en compilation JIT par un runtime spécifique à l’éxécution. ce qui poserait problème.

CaptainDangeax tu te méprends sur le but de l’UAC. Microsoft a toujours dit que l’UAC n’était pas une barrière de sécurité contrairement à la sandbox des applications Windows Store.



Mark Russinovich l’avait clairement dit à l’époque de Vista. Le but de l’UAC était de forcer les développeurs à ne plus écrire d’applications qui demandent les droits administrateurs inutilement. L’UAC n’arrête pas les virus ou malwares. Par contre si les applications tournent avec des droits utilisateurs(stratégie réussie quand Windows 7 est sortie), ça diminue la portée des attaques en cas de faille, ce qui est déjà pas mal.

Je pense qu’il faut que je précise les choses sur mes propos sur les performances. Je sens que ça va être détourné et mal interprété.



Ce sont des propos d’une de mes sources sur un papier qu’il a trouvé avec des benchmarks sur Midori. Mais il m’a juste donné une information globale. Il aurait été intéressant de savoir ce qui a été testé exactement.

Une personne plus haut a repris mes propos en expliquant que j’avais dit que M# serait deux fois plus rapide que c++. je n’ai jamais parlé du langage mais de l’OS.

De plus le résultat final peut encore changer. tout dépend comment ça va s’intégrer à Windows.



Mon propos était juste à titre informatif. Libre aux gens de me croire ou pas , je ne mens pas, je ne fais que reporter des propos.



PS: ceci dit il existe déjà un papier sur le site du MSR sur certains points qui sont testés sur Singularity comme les appels systèmes et c’est plutôt bon. Ou des tests avec la protection de ring cpu désactivé/activé et le MMU activé ou pas.

ldesnogu a écrit :



Ils n’ont pas le choix : s’ils interdisent l’utilisation des langages les plus utilisés par les devs, leur OS est mort-né. Même Apple n’a pas osé sur iOS.





Tout a fait

HarmattanBlow a écrit :



Il faut entendre “vérifiable” de façon contextuelle. Ici on appelle en substance vérifiable un code dont on est sûr qu’il ne pourra pas écrire ailleurs que dans ses propres pages mémoire de données et qu’il n’exécutera pas certaines instructions CPU. Quand ces conditions sont garanties on peut le faire tourner en ring 0 sans risques de le voir compromettre un autre processus ou le noyau, ou de violer ses privilèges d’accès.



Le processus est libre de se deadlocker et d’oublier de nettoyer sa mémoire, peu importe, ça ne fait pas partie du contrat à vérifier puisque le système sait de toute façon faire face à ces événements s’ils devaient survenir.



Une telle vérification est liée au langage. Le C++ ne peut pas être vérifié à cause de des pointeurs pseudonymes, de l’asm et peut-être d’une ou deux autres choses. Le C#, lui, peut être vérifié.





Je n’ai jamais dit que le C++ ne fonctionnerait plus et je regrette mais je n’ai pas le temps de regarder des vidéos promotionnelles d’une heure ou de consulter des centaines de brevets. Je t’invite à me dire en une phrase ce dont il s’agit. Mais trouver un moyen pour faire tourner les applis traditionnelles n’a rien de sorcier, le problème c’est que ce n’est pas gratuit, qu’il s’agisse de virtualisation ou de maintien d’une archi traditionnelle avec ring3 pour ces vieilles applis.





Il peut y avoir un C++ dédié pour crées des applis Midori, comme le C++ CLI. Mais à part ça il y a aussi la question de savoir si oui ou non ils cherchent à maintenir la compatibilité avec les applis existantes. Ce qui encore une fois ne serait pas gratuit.





Commentaire 94:

Les applications C++ WinRT tournent dans une sandbox. La sécurité et la fiabilité est donc assurée. Les api de WinRT sont déjà type safes.



Voilà ce qui se passe si tu communiques un pointeur dans une api winRT

Khalev a écrit :



T’as des liens vers ces brevets? Parce que jusqu’à présent quand je te lis j’ai plus l’impression de lire un fanboy sans esprit critique qui croit tout ce que lui dit le grand Microsoft que quelqu’un de vraiment raisonné.

Un peu de sources sur tes dires serait bienvenu (et permettrait de mettre tout le monde à niveau). Comme le dit HarmattanBlow, on a pas tous le temps de faire un veille exhaustive.





J’ai source des tweet de gens de Midori qui l’expliquent. Tu as aussi un lien dans mon précedent commentaire.

Pour le brevet il s’agissait de faire tourner des applis natives sur un os safe en passant par un module qui vérifiaient les données communiquées. ca ressemblait fortement à WinRT.

Ce brevet je l’ai vu en 2009 ou 2010 et je ne garde pas tous les liens que je lis. Je m’en fous un peu que tu ne me crois pas. Surtout quand on me traite de fan boy pour me discréditer. " />