Ответ на »сообщение 2325« (Николай)
___________________________

Здается мне, что через несколько лет при такой вольнице от РОСЫ пойдут толпы клонов, которые между собой никак не уживутся.

Простите, с чего Вы взяли, что "Роса" будет наступать на эти грабли системы Oberon?

Ответ на »сообщение 2329« (Стэн)
___________________________

Хотелось бы узнать, кто из нас "Группа по исследованию ОС"? Мне думается, что это нам стоит у вас спрашивать, "где? как? и почему?", а вы бы нам давали четкие и аргументированные ответы.

Задавайте вопросы. Вам кто-то мешает это делать? Ну а насчет "четкости" и "аргументированности" уж не обессудьте. Мы не должны ни перед кем отчитываться. Это наша добрая воля. Отвечаем ровно так, как считаем целесообразным. Ровно как и любые иные участники данного форума, в котором мы выступаем на равных правах с остальными.

Если же не нравится обсуждение -- это Ваше личное дело.

А вообще, два месяца назад я уже высказывался на эту тему »сообщение 974« - можно более менее формально только ядро отделить от всего остального, все, что за ним - дело вкуса.

Спасибо. С Вашей точкой зрения я знаком.

Ответ на »сообщение 2324« (Мухтар )
___________________________

Именно поэтому я не собираюсь учавствовать в Вашей авантюре по созданию ОС. Дитя умрет, не родившись.

Пардон, а какое отношение имеет Ваше утверждение к проекту "Роса"? Как я понял, Вы не согласны с мнением конкретного участника данного форума. И что из этого вытекает?

Ответ на »сообщение 2304« (Руслан Богатырев)
___________________________

Есть достаточно важная цепочка вопросов, напрямую связанных с проектом "Роса". Хотелось бы узнать различные точки зрения.

Вопросы простые:
1. Где можно провести границу между ОС и остальным программным миром ("не-ОС")?
2. Можно ли вообще ее провести?
3. Нужно ли ее проводить?

Вначале я думал, что это какая-то шутка, но понаблюдав за развитием событий, понял, что нет...
Простая аналогия: Врач "вышел в народ", чтобы поспрашивать, как лечить пациента... Кое-кому уже пора писать завещание... ;-)

Хотелось бы узнать, кто из нас "Группа по исследованию ОС"? Мне думается, что это нам стоит у вас спрашивать, "где? как? и почему?", а вы бы нам давали четкие и аргументированные ответы.

А вообще, два месяца назад я уже высказывался на эту тему »сообщение 974« - можно более менее формально только ядро отделить от всего остального, все, что за ним - дело вкуса.

Ответ на »сообщение 2324« (Мухтар )
___________________________

Обязательно. И не только свою целостность, но и целостность драйверов, приложений, файлов, содержащих макросы или управляющие данные (например, список приложений, запускаемых после загрузки ОС), документов (включая составные). Все файлы должны быть подписаны электронной подписью. Любым действиям с файлом должна предшествовать процедура установления подлинности и целостности файла и авторизации (т.е. уполномочивания) по цепочке программа-вызывающие программы-уполномоченный (не любой!) пользователь.


Именно поэтому я не собираюсь учавствовать в Вашей авантюре по созданию ОС. Дитя умрет, не родившись.

Смело участвуйте! Разрабочики ОС не обязаны следовать советам на этом форуме, включая тот, что Вы процитировали. Но предложите свое решение проблем, которые решает этот совет.

Ответ на »сообщение 2319« (Руслан Богатырев)
___________________________

Ответ на »сообщение 2318« (panda)
___________________________

А это уже из области "должен ли пользователь иметь 100%-контроль над системой?" По мнению сторонников free software - безусловно да, пользователь должен иметь возможность изменить или сломать любой элемент системы (например, sudo rm -Rf / - вполне допустимая команда с точки зрения свободных ОС - администратор сказал "удалить все", значит удалить).

Не стоит ли этот принцип поставить под сомнение? Например, даже в такой крайней форме: любое вмешательство (сисадмина) в целостность системы (ключевых компонентов) означает ее "уничтожение" (прекращение функционирования). Система должна гарантировать либо штатную работу, либо отказ от работы.


Вопрос на самом деле очень сложный и не имеющий простых и всегда одинаковых решений.

С одной стороны, "неисправная" финансовая программа не должна проводить платежи в пользу сисадмина или предоставлять ему доступ к чьим-то персональным данным.
С другой стороны, неисправный пассажирский самолет все-таки должен попытаться совершить аварийную посадку, а не самоликвидироваться в воздухе.
А вот если, скажем, ОС контролирует работу аппарата "искусственная почка", то неизвестно, что лучше - следовать командам программы или отключить ее как можно скорей. В этой ситуации пригодилось бы тройное модульное резервирование - если два модуля командуют одно, а еще один - другое, значит третий наверняка врет.

Есть, конечно, и универсальные правила:
Структура ОС должна быть полностью скрыта от сисадмина (как и приложения, драйверы и пользовательские файлы! - без надлежащих полномочий). Попробуй, подмени файл, который невиден и недоступен!
ОС должна активно сопротивляться попыткам вмешательства и сбоям, например, заменяя измененные компоненты аутентичными (если на это есть время - см. о самолете в воздухе).
О работе "под (чужим) контролем" (о сбое) ОС должна сообщать "кому следует", и должна быть возможность независимой проверки на наличие работы "под контролем" (или неисправности).
В случае работы "под контролем" или сбоя некоторые функции ОС должны быть заблокированы (когда и какие - сложный вопрос).
При принудительном отключении "неблоганадежных" компонентов, остальные должны продолжать функционировать.
Должна быть четкая процедура восстановления после сбоя/реабилитации после попытки вмешательства.

Ответ на »сообщение 2302« (Руслан Богатырев)
___________________________


>>> "Осетрина не бывает второй свежести." Как говаривал Е. А. Зуев,

К чему это фраза? Признаюсь, не понял Вашей мысли.


К тому, что если описание языка не выполняет своей функции (служить окончательным арбитром во всех спорных случаях), то это не описание языка. Что угодно: эскиз, протокол о намерениях, упрощенное изложение "для чайников", но --- не определение.


Ваша оценка "однозначности" фиксации семантики по любому из следующих международных стандартов для языков высокого уровня:
* C [ISO/IEC 9899:1999]
* C++ [ISO/IEC 14882:2003]
...

Не буду ничего говорить об остальных упомянутых языках, а для этих двух та самая "однозначность", честно говоря, далека от идеала. Но в их определениях  данное обстоятельство никто и не скрывает --- то и дело встречаются оговорки, что то или иное свойство языка определяется реализацией. С другой стороны, Вирт делает заявление, что семантика ЯВУ обязана быть машинно-независимой. Что же, замечательно! Пусть же маэстро покажет нам, убогим, как надо делать правильно... Но что же мы видим в описании Оберона? А ни что иное, как простое умалчивание деталей в тех местах, где трудновато обойтись без зависимости от машинной реализации, сохранив при этом другое заявленное качество --- эффективность.

>>>Если бы это было действительно так... Но Oakwood guidelines помимо описания библиотек содержит в себе и немалое количество уточнений семантики базовых сущностей языка.

Да, содержит. Не вижу предмета спора. Я утверждал нечто иное? Или Вы хотите перенести на меня свое недовольство (как мне представляется) высказываниями других лиц? Говорите предметно, а не намеками.

Для ясности воспроизведу исходную посылку:

Думаю, многие читали тексты ISO- и ECMA-стандартов различных языков. И обратили внимание, сколь сложны они для понимания и применения. Это не значит, что жанр, выбранный Виртом, может подменить "нехорошие", избыточные тексты международных стандартов. Просто это иллюстрирует, как можно кратко излагать достаточно непростые вещи, оставляя многое на додумывание, при этом выясняется, что додумывание весьма логично и ведет не по вариативному пути. Т.е. является естественным следствием заложенных в законе норм.

Повторяю еще раз и свой тезис: Oakwood guidelines помимо описания библиотек содержит в себе и немалое количество уточнений семантики базовых сущностей языка. Что из этого следует? Раз уж авторы этого документа взялись уточнять, то я это могу объяснить лишь тем, что по их мнению существует немалая вероятность возникновения разночтений. Если бы "додумывание вело не по вариативному пути", зачем было бы тратить время? В том-то и дело, что ни к чему хорошему это додумывание не ведет, а раз так, то и краткость изложения, которая и вызывает необходимость додумывать --- уже не достоинство, а банальная недоработка.

Ответ на »сообщение 2309« (Руслан Богатырев)
___________________________

Система Oberon -- характерный пример вольницы. Там можно написать свой (пользовательский) модуль, в котором любая экспортируемая процедура без параметров автоматически становится командой ОС. Круто! :) Но хорошо ли это? Для системы, воспитывающей "эгоиста", который пестует свое эго, свое Я, -- наверное хорошо. Но не всегда можно жить "эгоистом". Приходится иногда и о других думать. :)

Здается мне, что через несколько лет при такой вольнице от РОСЫ пойдут толпы клонов, которые между собой никак не уживутся. В закрытости кодов Microsoft не все есть плохо. В такой системе легче соблюдать стандарты. Надо искать способ не пущать в состав ОС ничего постороннего. В противном случае не лучше ли ограничиться границей между ядром и всеми остальными службами, в том числе прикладными программами!?

Ответ на »сообщение 2316« (Руслан Богатырев)
___________________________

Ответ на »сообщение 2311« (panda)
___________________________

Еще ряд "наивных" вопросов.

1. Необходимо ли ОС контролировать свою целостность? В том числе на предмет подмены/модификации ее компонентов (взлом, сбой, стороннее "улучшательство")?


Обязательно. И не только свою целостность, но и целостность драйверов, приложений, файлов, содержащих макросы или управляющие данные (например, список приложений, запускаемых после загрузки ОС), документов (включая составные). Все файлы должны быть подписаны электронной подписью. Любым действиям с файлом должна предшествовать процедура установления подлинности и целостности файла и авторизации (т.е. уполномочивания) по цепочке программа-вызывающие программы-уполномоченный (не любой!) пользователь.


2. Как совместить расширение ОС (компонентное, функциональное) с установлением границ и их контролем?


На каждую версию ОС должна составляться подробная спецификация, описывающая состав и структуру ОС и признаки подлинности всех ее компонентов. Должна быть возможность независимой сверки с эталонной спецификацией на сайте вендора.

На конфигурацию приложений и драйверов, установленных пользователем, тоже может составляться спецификация, хранимая в надежном месте.



3. Необходимо ли ОС заботиться о своем выживании даже при работе с ней сисадмина с максимальными правами?

Конечно, если Вы хотите, чтобы этой ОС пользовались в корпоративном или банковском секторе, а не только домохозяйки. Представьте, если бы сисадмины (со сколь угодно большими правами!) получили доступ к банковским счетам клиентов, к зарплатным ведомостям, к персональной информации о сотрудниках, к планам развития, промышленным секретам или к переписке топ-менеджеров. Известно, что наибольший ущерб приносят именно инсайдеры (кража информации для перепродажи или игры на бирже, шпионаж, шантаж, диверсии со стороны уволенных сотрудников). Вместо иерархической модели администрирования лучше использовать ролевую, с персонифицированными функциями, принцип "двух (минимум) ключей".