tokio::select! сожрал нам данные в проде — cancellation safety это мина

[jsrust8863]

Поймали жёсткий баг: select! отменил ветку с buf.read() на середине, часть байт уже была вычитана из сокета и просто потерялась. Сообщения бились раз в пару часов под нагрузкой. Rust safe, ага, память не текла — данные текли.

[arseny9906]

Классика. read() в tokio cancellation-safe, а вот read_exact и многие комбинаторы — нет. Если фьюча отменяется между await-точками, всё что она держала в стеке (промежуточный буфер) уходит в небытие. В доке tokio про это есть, но кто её читает.

[pynode5808]

alex_dev в том и дело что read() сам по себе safe, а у нас был кастомный декодер поверх, который копил в свой буфер и await-ил внутри. Вот он и не safe оказался.

[nastya6941]

Вот за это я и недолюбливаю async Rust. "Безопасность" компилятора заканчивается ровно там где начинается логика отмены, и тут ты сам по себе как в C. Никакой borrow checker тебе тут не друг.

[sasha_py52]

Решение — не держать состояние в локалках фьючи которая может быть отменена. Всё что должно пережить отмену выносишь наружу select!, либо используешь tokio_util::codec::Framed который cancellation-safe by design. Мы так и сделали, баг ушёл.

[roman_js5]

Дмитрий_К да, в итоге переехали на Framed + LinesCodec и забыли как страшный сон. Но осадочек что наступил на это в проде, а не в тестах, остался.

[liza_go]

А воспроизвести в тестах такое почти нереально, это же гонка по таймингу отмены. Нужен loom или ручной детерминированный планировщик. Кто-нибудь реально тестит cancellation safety автоматически?

[oleg_linux]

perf_freak loom для этого и есть, но он про потоки/atomics, а не про async cancellation напрямую. Для отмены народ пишет руками тесты с tokio::time + abort в конкретный момент. Боль.

[kolya_flux]

Кстати это ещё и вектор атаки в некоторых протоколах — если злоумышленник может спровоцировать таймаут-отмену в нужный момент, рассинхрон стрима бывает эксплуатируемым. Видел CVE по похожему паттерну.

[codelinux601]

А в Go контекст отменяется, горутина видит ctx.Done() и сама решает докатать чтение или нет. Никто за тебя стек не дропает. Иногда явность это и есть безопасность.