Якщо купа нульово ініціалізується для безпеки, то чому стек просто неініціалізований?

У моїй системі Debian GNU / Linux 9, коли виконується бінарний файл,

• стек неініціалізований, але
• купа ініціалізується нулем.

Чому?

Я припускаю, що нульова ініціалізація сприяє безпеці, але, якщо для купи, то чому б і не для стека? Чи стек теж не потребує безпеки?

Наскільки я знаю, моє питання не стосується Debian.

Зразок коду С:

#include <stddef.h>
#include <stdlib.h>
#include <stdio.h>

const size_t n = 8;

// --------------------------------------------------------------------
// UNINTERESTING CODE
// --------------------------------------------------------------------
static void print_array(
  const int *const p, const size_t size, const char *const name
)
{
    printf("%s at %p: ", name, p);
    for (size_t i = 0; i < size; ++i) printf("%d ", p[i]);
    printf("\n");
}

// --------------------------------------------------------------------
// INTERESTING CODE
// --------------------------------------------------------------------
int main()
{
    int a[n];
    int *const b = malloc(n*sizeof(int));
    print_array(a, n, "a");
    print_array(b, n, "b");
    free(b);
    return 0;
}

Вихід:

a at 0x7ffe118997e0: 194 0 294230047 32766 294230046 32766 -550453275 32713 
b at 0x561d4bbfe010: 0 0 0 0 0 0 0 0 

Звичайно, стандарт C не вимагає malloc()очищення пам'яті, перш ніж розподіляти її, але моя програма C лише для ілюстрації. Питання - це не питання про С або про стандартну бібліотеку С. Скоріше, питання - це питання про те, чому ядро ​​та / або завантажувач, який працює під час запуску, нулюють купу, а не стек.

ІНШИЙ ДОСВІД

Моє запитання стосується спостережуваної поведінки GNU / Linux, а не вимог стандартних документів. Якщо ви не впевнені, що я маю на увазі, спробуйте цей код, який викликає подальше невизначене поведінку ( невизначене, тобто, що стосується стандарту С), щоб проілюструвати точку:

#include <stddef.h>
#include <stdlib.h>
#include <stdio.h>

const size_t n = 4;

int main()
{
    for (size_t i = n; i; --i) {
        int *const p = malloc(sizeof(int));
        printf("%p %d ", p, *p);
        ++*p;
        printf("%d\n", *p);
        free(p);
    }
    return 0;
}

Вихід з моєї машини:

0x555e86696010 0 1
0x555e86696010 0 1
0x555e86696010 0 1
0x555e86696010 0 1

Що стосується стандарту С, то поведінка не визначена, тому моє питання не стосується стандарту С. Заклик не malloc()потрібно повертати одну і ту ж адресу кожен раз, але, оскільки цей дзвінок malloc()дійсно трапляється щоразу повертати одну і ту ж адресу, цікаво помітити, що пам'ять, що знаходиться в купі, щоразу нулюється.

Стек, навпаки, не здавався нульовим.

Я не знаю, що останній код буде робити на вашій машині, оскільки я не знаю, який шар системи GNU / Linux викликає спостережувану поведінку. Можна, але спробуйте.

ОНОВЛЕННЯ

@Kusalananda помітив у коментарях:

Оскільки це варте, ваш останній код повертає різні адреси та (випадкові) неініціалізовані (ненульові) дані під час запуску на OpenBSD. Це, очевидно, нічого не говорить про поведінку, яку ви спостерігаєте в Linux.

Те, що мій результат відрізняється від результату на OpenBSD, справді цікаво. Мабуть, мої експерименти виявили не протокол безпеки ядра (або лінкера), як я думав, а лише артефакт впровадження.

У цьому світлі я вважаю, що разом відповіді нижче на @mosvy, @StephenKitt та @AndreasGrapentin вирішують моє питання.

Дивіться також про переповнення стека: Чому malloc ініціалізує значення 0 у gcc? (кредит: @bta).

Зберігання, повернене malloc (), не ініціюється нулем. Ніколи не припускайте, що це так.

У вашій програмі тестування це просто хитрощі: я здогадуюсь, що malloc()щойно вийшов новий блок mmap(), але і на це не покладайтеся.

Наприклад, якщо я запускаю вашу програму на своїй машині таким чином:

$ echo 'void __attribute__((constructor)) p(void){
    void *b = malloc(4444); memset(b, 4, 4444); free(b);
}' | cc -include stdlib.h -include string.h -xc - -shared -o pollute.so

$ LD_PRELOAD=./pollute.so ./your_program
a at 0x7ffd40d3aa60: 1256994848 21891 1256994464 21891 1087613792 32765 0 0
b at 0x55834c75d010: 67372036 67372036 67372036 67372036 67372036 67372036 67372036 67372036

Ваш другий приклад - просто викрити артефакт mallocреалізації в glibc; якщо ви зробите це повторно malloc/ freeз буфером більше 8 байт, ви чітко побачите, що лише перші 8 байт нульові, як у наведеному нижче прикладі коду.

#include <stddef.h>
#include <stdlib.h>
#include <stdio.h>

const size_t n = 4;
const size_t m = 0x10;

int main()
{
    for (size_t i = n; i; --i) {
        int *const p = malloc(m*sizeof(int));
        printf("%p ", p);
        for (size_t j = 0; j < m; ++j) {
            printf("%d:", p[j]);
            ++p[j];
            printf("%d ", p[j]);
        }
        free(p);
        printf("\n");
    }
    return 0;
}

Вихід:

0x55be12864010 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 0:1 
0x55be12864010 0:1 0:1 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 1:2 
0x55be12864010 0:1 0:1 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 2:3 
0x55be12864010 0:1 0:1 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4 3:4

Незалежно від того, як стек ініціалізований, ви не бачите незайманого стека, оскільки бібліотека C виконує ряд речей перед викликом main , і вони торкаються стека.

У бібліотеці GNU C на x86-64 виконання починається в точці входу _start , яка закликає __libc_start_mainналаштувати речі, а остання закінчує виклик main. Але перед тим, як зателефонувати main, він викликає ряд інших функцій, через що в стек записуються різні фрагменти даних. Вміст стеку не очищається між викликами функцій, тому коли ви входитеmain , ваш стек містить залишки від попередніх викликів функцій.

Це пояснює лише результати, отримані від стеку, дивіться інші відповіді щодо вашого загального підходу та припущень.

В обох випадках ви неініціалізовані пам'ять, і ви не можете робити жодних припущень щодо її вмісту.

Коли ОС має розподілити нову сторінку у вашому процесі (будь то для її стека або для використовуваної арени malloc()), вона гарантує, що вона не буде відкривати дані інших процесів; звичайний спосіб забезпечити це заповненням нулів (але це однаково справедливо перезаписувати будь-що інше, включаючи навіть сторінку, що вартує /dev/urandom- адже деякі налагоджувальні програми malloc()пишуть ненульові шаблони, щоб ловити помилкові припущення, такі як ваше).

Якщо ви malloc()зможете задовольнити запит із пам'яті, яка вже використовується та звільнена цим процесом, його вміст не буде очищено (насправді очищення не має нічого спільного malloc()і цього не може бути - це повинно відбуватися до того, як пам'ять відображається в ваш адресний простір). Ви можете отримати пам'ять, яка раніше була написана вашим процесом / програмою (наприклад, ранішеmain() ).

У вашій прикладі програми ви бачите malloc()регіон, який ще не був записаний цим процесом (тобто це прямо з нової сторінки) та стек, до якого було записано (попередньоmain() кодом у вашій програмі). Якщо вивчити більше стека, ви побачите, що він заповнений нулем далі (в напрямку його зростання).

Якщо ви дійсно хочете зрозуміти, що відбувається на рівні ОС, я рекомендую вам обійти рівень бібліотеки C і взаємодіяти за допомогою системних викликів, таких як brk()і mmap()замість цього.

Ваша передумова неправильна.

Те, що ви описуєте як "безпека" - це справді конфіденційність , тобто жоден процес не може читати пам'ять інших процесів, якщо ця пам'ять явно не поділяється між цими процесами. В операційній системі це один з аспектів ізоляції одночасних дій або процесів.

Що операційна система робить для забезпечення цієї ізоляції, це щоразу, коли процес запитує пам'ять для накопичення купи або стека, ця пам'ять або надходить з області фізичної пам'яті, яка заповнена нулями, або заповнюється сміттям, тобто що випливає з того самого процесу .

Це гарантує , що ви тільки коли - небудь бачать нулі, або свій власний сміття, так що конфіденційність гарантується, і як купи і стека «забезпечити», хоча і не обов'язково (нульовий) инициализируется.

Ви занадто багато читаєте у своїх вимірах.