[NEWS] Microsoft entwickelt neues "sicheres" OS - auf Basis von C#
-
und was hat es für nachteile sowas gleich ins os zu packen bzw. als service oder so zu laufen
-
kingruedi schrieb:
Singularity macht es anders, die verlagern alles in den Kernelmode. Ich halte das nicht für sinnvoll, da jeder kleine Fehler zu einem Systemfehler wird.
... jeder Fehler in der VM, ja. Das sehe ich jetzt insgesamt als Vorteil an. Im Moment haben wir von x Herstellern y verschiedene Treiber, alle im niedrigsten Sicherheitsring. Hier ist nach meinem Verständnis geplant, dass nur die VM im niedrigsten Sicherheitsring laufen soll. Die VM mag vielleicht oft instanziert werden, aber im Großen und Ganzen ist die Codemenge, die jetzt ohne jede Kontrolle ausgeführt wird, doch geringer, oder? Jetzt gibt es nur noch ein Programm, wo es echt fatal ist, wenn Programmierfehler drin sind, im Moment sind das vergleichsweise viele.
Die Addressierung wird doch eh von der Hardware geprüft. Ich denke eh, dass man den Ansatz wahrscheinlich durch die richtige hardware lösen sollte.
So lange es notwendig ist, jedem Prozess einen Adressraum zuzuordnen und die Adressierung zu prüfen, stimme ich dir natürlich voll zu, dass es die Hardware machen sollte und keine VM. So ist es ja auch. Wenn es jedoch konzeptionell nicht möglich ist, auf prozessfremden Speicher zuzugreifen, warum sollte man dann so eine Prüfung beibehalten? Ich weiß nicht, ob das nach deren Vision komplett entfallen kann, für ein C#-Programm ohne "unsafe code" ist so eine Prüfung jedoch mit Sicherheit (außer vielleicht auf null-Pointer) unnötig. Zum Ausgleich müssen andere Prüfungen (bounds checking) oder Vorschriften (zwingend initialisierte Variablen) gemacht werden, die früher greifen, um das ganze System aufrecht zu erhalten.
-
Optimizer schrieb:
kingruedi schrieb:
Singularity macht es anders, die verlagern alles in den Kernelmode. Ich halte das nicht für sinnvoll, da jeder kleine Fehler zu einem Systemfehler wird.
... jeder Fehler in der VM, ja. Das sehe ich jetzt insgesamt als Vorteil an. Im Moment haben wir von x Herstellern y verschiedene Treiber, alle im niedrigsten Sicherheitsring. Hier ist nach meinem Verständnis geplant, dass nur die VM im niedrigsten Sicherheitsring laufen soll. Die VM mag vielleicht oft instanziert werden, aber im Großen und Ganzen ist die Codemenge, die jetzt ohne jede Kontrolle ausgeführt wird, doch geringer, oder? Jetzt gibt es nur noch ein Programm, wo es echt fatal ist, wenn Programmierfehler drin sind, im Moment sind das vergleichsweise viele.
aber die treiber müssen doch immer auf der niedrigsten ebene laufen, da die doch die funktionalität bieten oder hab ich da nen denkfehler? und ich denk zurzeit sind doch soviele funktionen wie möglich als services implementiert oder ist das nur in linux so?
-
For example, because SIPs are so cheap to create and enforce, Singularity runs each program, device driver, or system extension in its own SIP.
Sieht also so aus, als würde jedes Programm mit Ausnahme der VM in so einem SIP laufen.