<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Oct 4, 2016 at 11:43 AM, Matt Gingell <span dir="ltr"><<a href="mailto:gingell@google.com" target="_blank">gingell@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Richard,<br>
<br>
Thanks for your analysis.<br>
<br>
This patch is intended to mitigate use-after-free bugs. In that context a “define strict behavior for invalid pointer values” we could deploy in production code would be very useful. Maybe calling this a sanitizer is misleading, and instead it could be presented as “change implementation defined behavior to be less convenient but more security friendly."</blockquote><div><br></div><div>OK, but you still need to address points #1-#3 of my email, which show things that go wrong with this patch if you interpret it in that way. Point #3 seems especially problematic. You can't store through the pointer before the destructor runs, because the destructor is permitted to look at the pointer, and you can't store through the pointer *after* the destructor runs, because the destructor might have (say) deallocated the memory containing the pointer.</div></div></div></div>