Just code IT

2022-10-07 17:23:23 Just code IT pinned « Как пользоваться каналом Just Code IT? Здесь мы, разработчики, публикуем контент для таких же разработчиков. Подпишитесь, чтобы получать полезные посты о том, как писать чище, ревьюить объективнее, деплоить быстрее. #digest — разбор механизмов, методов…» Открыть/Комментировать

2022-10-07 17:22:43 Как пользоваться каналом Just Code IT?

Здесь мы, разработчики, публикуем контент для таких же разработчиков. Подпишитесь, чтобы получать полезные посты о том, как писать чище, ревьюить объективнее, деплоить быстрее.

#digest — разбор механизмов, методов, проектов, фичей, форматов, стандартов и конечно кода.

#literature — заметки, статьи и книги, а также гайды; короче говоря, чтиво, которое научит полезным приёмам или сподвигнет на большие свершения.

#fun — забавные моменты, скрашивающие нашу рабочую жизнь: ролики, игры, технические флэшбеки из детства и скрины из наших рабочих чатов =) Открыть/Комментировать

2022-10-04 12:46:01 Хардкорные инструменты для WEB-разработки

Мы привыкли, что бэкенд для WEB пишут на высокоуровневых языках программирования со сборкой мусора: Python, Go, JavaScript, PHP, Java и других. Появляются новые фреймворки, упрощающие типовые задачи разработки и улучшающие безопасность решений, тулинг. Таким образом, WEB-бэкенд — отдельная область знания со своей экосистемой, стандартами, типовыми языками и инструментами.

Но возможно ли разработать относительно безопасное WEB-приложение с использованием таких хардкорных инструментов, как язык C? Ответ на этот вопрос в полушутливой форме дает Кристапс Джонсонс (Kristaps Dzonsons).

Кристапс предлагает использовать стек технологий под названием BCHS: BSD, C, httpd, SQLite. Наверняка в названии вы уловили шутливую аналогию с LAMP: Linux, Apache, MySQL, PHP. Но подождите, разве C подходит для таких задач? WEB-приложения оперируют множеством строк (например, JSON объектами), а в этом язык C не слишком хорош — сказывается ручное управление памятью. Более того, чтобы разработать действительно безопасное приложение на C, требуется серьезная инженерная дисциплина, большой опыт системной разработки и глубокое знание стандарта языка — статический и динамический анализ способны отловить далеко не все ошибки и уязвимости.

Для достижения такой, казалось бы, странной цели, Кристапс предлагает использовать метод разработки, похожий на Secure by design. Его подход подразумевает разбиение приложения на независимые процессы, общающиеся через примитивы межпроцессного взаимодействия. При этом, привилегии этих процессов сбрасываются ровно до того уровня, который необходим им для функционирования. OpenBSD позволяет строить такие решения благодаря системным вызовам pledge и unveil. FreeBSD же предоставляет гибкий механизм Capsicum.

Также Кристапс приводит множество способов, помогающих снизить вероятность ошибки в критическом коде: использование подмножества языка, строгие правила кодирования (SEI CERT), генерация кода, статический и динамический анализ, фаззинг.

Таким образом, благодаря правильной архитектуре, верно выбранным принципам проектирования безопасных систем и хорошему тулингу, удается построить быстрые и безопасные системы даже на столь небезопасном языке, как C.

#digest Открыть/Комментировать

2022-09-21 10:35:39 Just code IT pinned a photo Открыть/Комментировать

2022-09-19 11:33:01 Github полон любительских проектов на любую тему. Среди них порой встречаются настоящие самородки, малоизвестные публике, со своим собственным видением и незаурядным подходом к привычным вещам.

Мы прошли бы мимо проекта ChrysaLisp, если бы судили только по названию. Сколько уже написано интерпретаторов различных диалектов Lisp — трудно подсчитать. Lisp-системами тоже никого не удивить, это давно пройденная страница истории. Но было в проекте что-то притягательное и мы решили разобраться. Не зря.

Автор проекта, Крис Хинсли (Chris Hinsley), планирует разработать распределенную операционную систему с современным графическим интерфейсом. Он начал с разработки 64-битной виртуальной машины для выдуманной архитектуры процессора VP64. Архитектура команд для этой машины построена так, чтобы легко транслироваться в код x86_64 и ARMv8. Далее был разработан язык похожий на ассемблер, но со скобочным синтаксисом, как в Lisp: на этом языке написаны примитивы низкого уровня. Поверх может запускаться код, созданный на более высокоуровневом языке, семантически близком к C, но тоже с lisp-подобным синтаксисом.

Пользуясь этими инструментами, Крис создал ОС, способную работать на нескольких распределенных в сети вычислительных узлах. Для системы написано множество приложений с довольно современным GUI, который работает благодаря гибкой объектной системе.

Есть в системе и интерпретатор более-менее традиционного Lisp, который может исполнять компиляторы более низкоуровневых языков, описанных двумя абзацами ранее. Таким образом, в окружении ChrysaLisp можно разрабатывать ChrysaLisp, оно полностью замкнуто (self-hosted).

Крис также планирует научиться запускать свою систему на голом железе и оценивает эту задачу как не очень трудную.

#digest Открыть/Комментировать

2022-09-16 11:15:33 Качественное программирование (robustness)

Наткнулись на старенькую статью старенького дяденьки Бишопа. Того самого профессора в UC Davis, который написал самую важную книгу по теоретической безопасности (толщиной всего-то в 1383 страницы). Статья небольшая и сугубо практическая, нацеленная на прокачку скилла robusntess.

На примере реализации очереди показано, что может поломаться, и как писать код, устойчивый против этих поломок. В несколько утрированно-параноидальном примере Бишопа куча проверок, но, как нам кажется, часть из этих проверок должна переехать с уровня кода на уровень архитектуры. Иначе каждый класс, каждая подсистема будут обречены строить свои системы контроля целостности. И эти системы будут либо неполны по числу проверок, либо раздуты по объему кода (либо раздуты и неполны). Ведь любые хранимые и передаваемые данные могут быть повреждены. Даже биты в памяти выпадают периодически, что уж говорить о файлах или о передаче по сети (не надейтесь на встроенные checksum-ы TCP ).

Что из этого следует? Следует подходить к прокачке robustness всесторонне, усиливая ее и на уровне кода, и на уровне архитектуры, и на уровне оборудования. Ну, если, конечно, вашей системе нужна серьезная robustness.

#digest Открыть/Комментировать

2022-09-13 10:47:01 Вы, наверное, не сомневались, что у команды авторов канала есть основная работа :) И на основной работе у нас есть внутренний чат, в котором мы сначала обсуждали рабочие проекты, а затем, как это часто бывает, стали обсуждать рабочую жизнь.

Решили иногда делиться этими обсуждениями с вами. Что скажете?

#fun Открыть/Комментировать

2022-09-09 12:46:30 Первое знакомство с языком ассемблера

Мы, авторы канала, уверены, что сегодня в IT можно сделать карьеру, ни разу не столкнувшись с языком ассемблера. Разрабатывать на столь низком уровне приходится достаточно редко: даже разработчики операционных систем не каждый день сталкиваются с необходимостью писать ассемблерный код, хотя и должны хорошо понимать его — например, для работы в отладчике.

Как поступить, если хочется разобраться, что же такое ассемблер, но на полноценное погружение в низкоуровневое программирование для современных платформ нет времени? Здесь могут выручить ретро-платформы.

Хорошо подойдет процессор MOS6502, архитектура которого настолько примитивна, что освоить низкоуровневое программирование для него не будет сложным, даже если вы с этим никогда не сталкивались. Но, как говорится: «But you gotta focus!»

Поняв основные принципы — инструкции, регистры, косвенную адресацию, флаги, условные и безусловные переходы — вы сможете легче осваивать языки ассемблера и для современных архитектур вроде x86_64, ARMv8 или RISC-V.

В изучении поможет этот интерактивный учебник, со встроенным транслятором, эмулятором и отладчиком. Начав с азов, вы достаточно быстро дойдете до уровня, когда сможете написать даже простую игру-змейку.

6502 — очень важный процессор, сильно повлиявший на индустрию. Его «близкие родственники» работали в игровых приставках (Nintendo Entertainment System), домашних компьютерах (Commodore 64, Apple-II) и бытовой технике. Система команд этой серии настолько популярна, что до сих пор выпускаются совместимые с ней микроконтроллеры и процессоры.

#digest Открыть/Комментировать

2022-09-09 08:40:09 Just code IT pinned «Генерируем видео-демонстрации на языке C (часть 2) Недавно мы рассказывали о простом способе генерации видео, который Крис Веллонс (Chris Wellons) использует для демонстрации различных алгоритмов — например, сортировки. Вот еще несколько классных роликов…» Открыть/Комментировать

2022-09-02 11:35:32 Анимированные эллиптические кривые

Современный интернет невозможен без TLS: мы передаем множество чувствительных данных, начиная от паролей, заканчивая номерами банковских карт. Мы надеемся, что эти данные будут защищены от хищения и подмены.

Важная часть TLS-протокола — обмен ключами. Последняя версия стандарта использует для этого криптографию на основе эллиптических кривых. Но хорошо ли вы понимаете, что это такое и как работает?

Если вы не торопитесь погружаться в детали работы алгоритма, а просто хотите в целом понять, что там происходит, — можем посоветовать анимированную демонстрацию базовых операций на эллиптических кривых. Там же можно увидеть, как происходит непосредственно обмен ключевой информацией.

#digest Открыть/Комментировать