Mozilla Glean Team: Co náhodně mění vaše bity?

Nad "dátami", ktoré nejaký SW explicitne spracúva, to samozrejme nejako urobiť ide, ale o možnosti urobiť túto SW kontrolu všeobecne (t.j. aj pre "živý" programový kód v pamäti) by som silne pochyboval...

Ako, ta kontrola na urovni protokolov/dat pri kazdom prenose je samozrejme potrebna, to nerozporujem. Problem je, ze samotny kod, ktory sa vykonava, je ulozeny prave v RAM (v jednom momente) a preto hrozi velke riziko, ze do CPU sa uz dostanu (a vykonaju) koniny. Cize v kode mozete mat kludne riesenu kontrolu integrity napriklad prijatych dat, ale co je to platne, ak instrukcia, ktora by po zlom vysledku jumpla prec sa vdaka zmenemeu bitu v RAMke zmeni na NOP alebo nejaku inu neskodnu instrukciu? Ako cisto v softveri overite, ze kod, ktory vykonavate, je naozaj to, co chcete vykonavat?

Mozete namietat, ze napisete kod, ktory bude neustale periodicky kontrolovat svoj checksum v RAMke a ked je zly, tak ukoncite vykonavanie. Ale co ak prave na mieste, ktory by ukoncil vykonavanie, bude chyba? Dalej namietnete, ze taketo kontroly budete mat dve a budete ich striedat. Je velmi nepravdepodobne, ze by sa na oboch miestach stala zmena, ktora by sposobila neucinnost oboch kontrol. Ale tu sa zasa moze stat, ze kod, ktory vola samotne kontroly, je poskodeny a prestane ich volat. Tak znasobite aj ten, ale opat to zniekadial je potrebne volat, atd.

To je prakticky neriesitelny problem, preto je snaha eliminovat vznikanie chyb na miestach, kde je najvacsie riziko. A prave RAMka je extremne zranitelna, lebo obsahuje vela malych buniek, ktore nepotrebuju vela externych vplyvov, aby nezelane zmenili svoju hodnotu.

My napriklad robime zariadenia pre zeleznice. Procesory, ktore pouzivame, maju samozrejme nejaku formu ECC na cache, na ramkach, na flashkach a este aj na vnutornej zbernici. A zo statistik vidno, ze prave RAM je miesto, kde vznika 99.9999% chyb typu flipnuty bit. Preto sa prakticky vsetci v tejto diskusii zameriavaju prave na RAM.

Dufam, ze uz chapete, co som myslel a preco pozadujem HW ECC pre RAM. Ak stale mate namietky, tak napiste nejaky kratky C kod, ktory bude riesit integritu sameho seba softverovo a ked je integrita narusena, tak skonci. Mozeme sa potom pozriet na to, ci sa flipnutim zopar bitov vo vyslednej binarke nedostaneme ku kodu, ktory nieco bude vykonavat, hoci checksum nebude sediet.