सर्वर की हिंस्रता का चयन

Hubris IPC का अवलोकन

• Hubris एक छोटे, application-independent kernel का उपयोग करता है, और अधिकांश code (driver, application logic, network stack आदि) अलग से compile किए गए isolated tasks में मौजूद होता है
• ये tasks cross-task messaging system (IPC) का उपयोग करके एक-दूसरे से communicate कर सकते हैं
• Hubris का IPC kernel में implement किए गए 3 मुख्य operations (RECV, SEND, REPLY) से बना है
  • RECV: आने वाले सबसे उच्च-प्राथमिकता वाले message को collect करता है, या message आने तक block करता है
  • SEND: message और control को receiving task को transfer करता है और caller को रोक देता है। caller response मिलने तक waiting state में चला जाता है
  • REPLY: पहले SEND का उपयोग करने वाले task को response देता है ताकि वह आगे बढ़ सके

नए और दिलचस्प failure modes

• क्योंकि IPC task boundaries को पार करता है और Hubris के tasks अलग से compile किए गए programs हैं, इसलिए IPC में वैसी ही assumptions करते समय सावधानी ज़रूरी है जैसी compiler function calls के समय मानकर चलता है
• Hubris में IPC server की भूमिका निभाने वाले सभी tasks को निम्न संभावित errors संभालने होते हैं:
  • interface और operation code के मेल न खाने वाले messages प्राप्त होना
  • अपेक्षित message type के बजाय ऐसे bytes का समूह मिलना जिसे parse नहीं किया जा सके, या बहुत छोटा या बहुत बड़ा message मिलना
  • आवश्यक memory (जैसे writable memory) प्राप्त न होना

सामान्य और सही programs में ये स्थितियाँ नहीं होतीं

• सामान्य Hubris programs में ऊपर बताई गई स्थितियाँ नहीं होतीं
• tasks build system की configuration के ज़रिए एक-दूसरे से जुड़े होते हैं, इसलिए उनका आपस में भ्रमित होना कठिन है
• client और server generated Rust code का उपयोग करते हैं, इसलिए यह मान सकते हैं कि type system task boundaries के पार भी काम कर रही है

kernel किसी भी बकवास को बर्दाश्त नहीं करता

• Unix में system call की preconditions का उल्लंघन करने पर caller को error code लौटाया जाता है, लेकिन Hubris में task तुरंत नष्ट कर दिया जाता है
• Hubris kernel Synthetic Fault नामक अवधारणा के माध्यम से kernel rules का उल्लंघन करने वाले tasks को fault पहुँचाता है
• Hubris में hardware या synthetic fault होने पर task तुरंत रुक जाता है और उससे recovery संभव नहीं होती

server भी किसी भी बकवास को बर्दाश्त नहीं करता

• REPLY_FAULT नाम की 13वीं और सबसे असामान्य system call के माध्यम से server client को fault पहुँचा सकता है
• REPLY_FAULT, REPLY जैसा है, लेकिन message देकर task को runnable state में लाने के बजाय fault देता है और task को रोक देता है
• REPLY_FAULT के माध्यम से अनावश्यक IPC error handling से बचा जा सकता है। सामान्य programs ऐसे काम करते हैं मानो समस्या हो ही नहीं सकती, और असामान्य programs को error handle करने का मौका भी नहीं मिलता
• REPLY_FAULT application-specific faults, जैसे access control rules, को परिभाषित और implement करने का नया तरीका देता है

GN⁺ की राय

• REPLY_FAULT एक शक्तिशाली mechanism है जो server को client side के सहयोग के बिना भी client में cross-process panic! ट्रिगर करने देता है। इससे Hubris malicious programs के प्रति बेहद शत्रुतापूर्ण system बन जाता है
• REPLY_FAULT की कमी यह है कि fuzzing test बहुत कठिन हो जाते हैं। random IPC या system calls बनाने वाला chaos engineering task लगभग हर व्यवहार में तुरंत reset हो जाता है
• लेकिन सामान्य Hubris tasks dynamically IPC messages generate नहीं करते, इसलिए वे REPLY_FAULT के अस्तित्व को जाने बिना भी काम कर सकते हैं
• REPLY_FAULT के ज़रिए server client में मनमाने faults पैदा कर सकता है, लेकिन इसका मूल्यांकन अभी पूरी तरह नहीं हुआ है
• Hubris की आक्रामक error handling development के शुरुआती चरण में bugs खोजने में मदद करती है, और error codes के विपरीत errors को अनदेखा करना असंभव बना देती है
• IPC errors को संभालने का सार्वभौमिक तरीका अपनाने से सामान्य programs पर भी अनावश्यक overhead आ सकता है। REPLY_FAULT इससे बचते हुए असामान्य programs के प्रति सख्ती बनाए रखने वाला एक elegant solution लगता है