C＃EventHandlerは間違った方法で設計されていますか？

あなたの批判には2つの主な目的があるようです：

• 敵対的またはバグのある購読者に直面すると、イベントは壊れやすくなります。
• パブリッシュ/サブスクライブのメタファーがあなたの直感と一致しません。

最初に2番目の点を取り上げましょう。デザインパターンのすべてのメタファーはアナロジーであり、同型ではありません。批判は妥当ですが、デザインは、メタファーが伴う直感と一致したいという欲求によって動機付けられなかったことを思い出してください！この設計は、基幹業務の開発者のニーズに適度なコストで応えたいという欲求によって動機付けられました。

最初のポイントはより重要なものです。 敵対的またはバグのあるサブスクライバーが直面するイベントは確かに壊れやすい。いくつかの興味深い攻撃があります。

たとえば、異なる信頼レベルのコードを同時に「スタックに」置くことができるように設計された.NET 1.0セキュリティモデルを考えてみてください。敵対的なことを行う-スタックウォークによって緩和されます。つまり、高信頼コードが危険な行為を試みる場合、高信頼コード自体だけでなく、コールスタック上のすべてのコードが十分に信頼されている必要があります。

では、信頼度の低いコードが、信頼度の高いメソッドにデリゲートをイベントのハンドラーとして追加するとどうなるでしょうか。イベントがトリガーされると、低信頼コードはスタック上にないため、スタックウォークはそれを認識しません。

悪意のあるコードがイベントを使用してユーザーに損害を与える方法は数多くあります。 イベントは特にこれらの脆弱性を軽減するように設計されていません。開発者は、信頼性の高いコードのみがイベントハンドラーの追加を許可され、ハンドラーが無害であることを保証するコードを作成する責任があります。

あなたの質問は、「デザインですか間違っています？」ええと、答えは、設計目標を達成できない場合、設計が間違っているということです。敵対的なイベントハンドラーに直面してイベントが堅牢なシステムを設計することは、設計プロセスの目標ではないことを明確に示したので、設計はその意味では「間違った」ものではありません。

非同期、分離、堅牢性など、必要なプロパティを持つパブリッシュ/サブスクライブシステムを開発することは確かに可能です。デフォルトのイベントシステムは、これらのプロパティを持つようには設計されていません。むしろ、ボタンをクリックするとチェックボックスが緑色になるように設計されています。それはその目標に非常によく成功します。

さらに、あなたの好みが普遍的に「より良い」ことは決して明らかではありません。特定のユースケースでのみ優れている場合があります。議論のために、そのうちの1つを見てみましょう。 goodあるハンドラーによってスローされた例外が次のハンドラーの実行を妨げているのでしょうか、それともbadですか？あなたはそれがbadであることを示唆していますが、その前提をより注意深く調べています。ハンドラーが未処理の例外を発生させると、どのような状況で期待できますか？

• ハンドラーは敵対的で、サービス拒否攻撃を試みています。

この状況では、[]が攻撃である可能性があるハンドラコードをさらに実行しようとするために正しいことは何ですか？ 依存するである可能性のある攻撃は、クラッシュを引き起こした、壊れた状態が生成された場合に発生しますか？

• ハンドラーは無害ですがバグがあり、誤ってクラッシュしました

ハンドラーはバグが多いため、クラッシュし、独自の内部状態が不整合のままになり、ユーザーデータが失われる可能性があります。 secondハンドラを実行するために正しいことはありますalsoはその内部状態に依存し、moreユーザーデータを失う可能性がありますか？

• ハンドラーは無害でバグがなく、そのアクションはイベントソースのクラッシュするバグを公開します。

イベントソースの内部データ構造が破損しているため、イベント処理中に予期しない例外がスローされます。実行するために正しいことはmore code？

予期しない事態が発生し、世界が危険なほど不安定で予測不可能な状態になった場合、more random codeを実行することはほとんどの場合wrongを実行することです。クラッシュを分離しても、壊れたシステムが存続するだけで害が発生するlongerより多くの害が発生する！ rightイベントハンドラーが予期しない例外をスローしたときに行うことは、システム全体をシャットダウンし、それ以上の損傷を停止し、問題をログに記録し、開発チームにバグの多いパッチを適用してコードをクラッシュさせることです。