Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Сергей Марьин - Как совершенно случайно выстрелить себе в ногу из стандартной библиотеки

DotNetRu
November 28, 2019
Programming
0
30

Сергей Марьин - Как совершенно случайно выстрелить себе в ногу из стандартной библиотеки

Несколько историй о внезапных ошибках, возникающих при использовании стандартных библиотек (как BCL, так и просто популярных). Несмотря на годы развития и миллионы пользователей платформы .NET, никто не застрахован от выстрела в ногу при использовании стандартного класса совершенно стандартным образом. Разберём примеры и поговорим, почему так происходит и почему важно проектировать API таким образом, чтобы оно было «воронкой успеха», а не «воронкой неудач».

DotNetRu

November 28, 2019
Tweet

More Decks by DotNetRu

See All by DotNetRu
Кирилл Лихтарович «Версионирование и кодогенерация в REST API»
dotnetru
0
190
Дмитрий Бабушкин «Мержилка .sln: быстро и надёжно, без UI и юнит-тестов»
dotnetru
0
120
Артём Микулич «Как интегрироваться с (не-)надёжным third-party API при помощи Polly»
dotnetru
0
120
Иван Патудин «gRPC и его реализация в .NET Core»
dotnetru
0
440
Дмитрий Павлов «Greenplum: Быстро, параллельно, консистентно»
dotnetru
0
230
Филипп Бочаров «Распределенная трассировка Jaeger в .NET»
dotnetru
0
260
Андрей Сергеев "Вопросы nullabilily в платформе .NET, применение функционального подхода в разработке с использованием типов Unit, Tagged Union, Optional, Result, разделение исключительных ситуаций и ожидаемых результатов при обработке ошибок."
dotnetru
0
130
Павел Московой "Работа с HTTP в платформе .NET, собственный движок для работы с HTTP, использующий функциональный подход на основе типа Result для обработки HTTP-ответа вместо исключений."
dotnetru
0
100
Сергей Огородников "Практика построения сервисов на основе ViennaNET"
dotnetru
0
110

Other Decks in Programming

See All in Programming
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
5
910
Ruby Pattern Matching
bkuhlmann
0
930
AWS CDKコントリビュートTIPS / aws-cdk-contribution-tips
gotok365
2
120
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
200
検証も兼ねて個人開発でHonoとかと向き合った話
hanetsuki
0
860
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.4k
#phpcon_odawara オープン・クローズドなテストフィクスチャを求めて / open closed test fixtures
77web
3
230
PHPはいつから死んでいるかの調査
chiroruxx
1
400
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
640
Anthropic Cookbook のおすすめレシピ
schroneko
7
920
HUIT新歓2024「競技プログラミング、やってみませんか?」
slephy2784
1
270
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
410

Featured

See All Featured
Raft: Consensus for Rubyists
vanstee
132
6.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
14
1.6k
The Power of CSS Pseudo Elements
geoffreycrofte
60
5k
In The Pink: A Labor of Love
frogandcode
138
21k
A Philosophy of Restraint
colly
197
16k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Building an army of robots
kneath
300
41k
Scaling GitHub
holman
457
140k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
78
42k
Building Applications with DynamoDB
mza
88
5.6k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
121
39k
RailsConf 2023
tenderlove
4
540

Transcript

  1. Как совершенно случайно выстрелить себе в ногу из стандартной библиотеки

    Сергей Марьин [email protected]

  2. System.Random

  3. Пример первый. Рандомизированные тесты

  4. Рандомизированные тесты

  5. Рандомизированные тесты

  6. Рандомизированные тесты

  7. Рандомизированные тесты

  8. Рандомизированные тесты

  9. Рандомизированные тесты

  10. Что произошло? Data race (состояние гонки) в классе Random. Начиная

    с какого-то момента — только нули. Итог: проверяется одно состояние (n = 0).

  11. Почему?

  12. Почему? Сам виноват

  13. MSDN

  14. Почему? Сам виноват

  15. Почему? Сам виноват Проблема в библиотеке?

  16. Кто виноват?

  17. Пример второй. Исправленные тесты

  18. Пытаемся исправить

  19. Пытаемся исправить

  20. Пытаемся исправить

  21. Что произошло? Инициализация текущим временем. Дискретность системного таймера. Итог: повторение

    многих тест-кейсов.

  22. Почему?

  23. Почему? Сам виноват

  24. Почему? Сам виноват Проблема в библиотеке?

  25. Почему? Сам виноват Проблема в библиотеке (“защита от дурака”)

  26. Решение: .NET Core

  27. Пример третий. Доступ по ссылке

  28. Доступ по ссылке Пользователь загружает файлы (картинки). Шарит по ссылке.

    Не хотим давать возможность перебирать по айдишнику.

  29. Доступ по ссылке Плохо: example.com/images/10001 example.com/images/10002 example.com/images/10003 Хорошо: example.com/images/a8fdc205a9f19cc1c750 example.com/images/07a60c4f01b13d11d7fd

    example.com/images/da39a3ee5e6b4b0d325

  30. Генератор псевдослучайных чисел

  31. Подбор злоумышленником 1. Следующие/предыдущие значения по формуле 2. Подбор стартового

    значения (seed) по времени инициализации https://habr.com/ru/company/skbkontur/blog/347758/ https://github.com/hyprwired/untwister

  32. Решение: RNGCryptoServiceProvider

  33. Почему? Сам виноват? Проблема в библиотеке?

  34. Почему? Сам виноват? Проблема в библиотеке? Ошибки проектирования (не так

    просто исправить)

  35. Эрик Липперт о рандоме в JS и .NET https://security.stackexchange.com/a/181623

  36. Пример четвёртый. RNGCryptoServiceProvider всюду

  37. RNGCryptoServiceProvider всюду Разработчики библиотеки: Имплементация System.Random через RNGCryptoServiceProvider внутри. Пользователи

    библиотеки: Просто везде использовать RNGCryptoServiceProvider.

  38. Криптогенераторы внутри 1. Сложнообратимая функция получения следующего элемента (типа хеш-функции).

    Проблема: скорость. 2. Стартовое значения (seed) из собранной энтропии. Проблема: нехватка энтропии.

  39. Решение Не использовать RNGCryptoServiceProvider (и аналоги) везде подряд :(

  40. Почему? Сам виноват? Проблема в библиотеке? Ошибки проектирования?

  41. Почему? Сложная предметная область

  42. Почему? Сам виноват Проблема в библиотеке Ошибки проектирования Сложная предметная

    область

  43. Почему? Сам виноват Проблема в библиотеке Ошибки проектирования Сложная предметная

    область

  44. Пример пятый. Не только случайность

  45. Не только случайность

  46. Не только случайность

  47. Не только случайность

  48. Пример шестой. left-pad

  49. left-pad

  50. left-pad

  51. left-pad

  52. Что делать?

  53. Универсальный рецепт

  54. Универсальный рецепт Нету :(

  55. Проблемы Сам виноват Проблема в библиотеке Ошибки проектирования Сложная предметная

    область

  56. Сложная предметная область + Сам виноват Решение: 1. Расширять кругозор

    2. Читать исходники библиотек 3. Читать документацию

  57. Проблема в библиотеке Решение: 1. Регулярно обновляться 2. Читать исходники

    библиотек

  58. Ошибки проектирования Проектировать свои библиотеки с оглядкой на сценарии использования

    (“воронка успеха” vs воронка неудач”)

  59. Что делать? 0. Не паниковать 1. Регулярно обновляться 2. Расширять

    кругозор 3. Читать исходники библиотек 4. Проектировать свои библиотеки с оглядкой на сценарии использования

  60. Что делать? 0. Не паниковать 1. Регулярно обновляться Регулярные физические

    нагрузки 2. Расширять кругозор Есть побольше овощей 3. Читать исходники библиотек Ложиться спать до полуночи 4. Проектировать свои библиотеки с оглядкой на сценарии использования Звонить маме почаще

  61. Что делать? (конкретно)

  62. Обновления 1. Обновить самый “ненужный” микросервис 2. Новые сервисы/либы на

    .NET Core/Standart 3. Хобби-проект на .NET Core 4. Запустить на Linux

  63. Кругозор 1. Записаться на следующий митап 2. Почитать ссылки из

    презентации 3. Открыть книгу по алгоритмам 4. Записаться на Russian AI Cup или CodinGame

  64. Russian AI Cup 2019

  65. Читать исходники библиотек Каких? 1. System.Random в .NET Core 2.

    Самый медленный внешний метод в проекте (профилируйте) 3. Куда охота контрибьютить
  66. None

  67. Сценарии использования API Вспомнить проблемы: 1. Бэклог 2. Слак/телеграм/устно

  68. Что делать? 0. Не паниковать 1. Регулярно обновляться 2. Расширять

    кругозор 3. Читать исходники библиотек 4. Проектировать свои библиотеки с оглядкой на сценарии использования [email protected] @sergei_mar