> Тео отдал программисту право изменят исполняемый код программы.

Не Тео, а стандарты POSIX. Которые предполагают, что память может быть доступна и на запись и на чтение и есть программы, которые на это завязаны.

> Я на стороне строгой реализации W^X не допускающий JIT в принципе.

Как только объективной потребности в этом не будет - её все отключат. Пока это может сломать приложения, так делать нельзя.
(речь в большей степени про запрет на переключения RW -> RX, сам по себе W^X уже ломает не так много)

> Тео поступил плохо, мотивируя что chrome & firefox требуют JIT. Google таки прогнулся под Apple в которых тоже строгая реализация W^X и нетерпимость к JIT - сегодня хромого можно собрать без поддержки JIT!

Судя по https://developer.apple.com/documentation/apple_silicon/port... переключения между RW / WX возможны, т.е. всё аналогично openbsd.

> И какому такому "умному" пользователю OpenBSD нужны проги с JIT?

Мне например - firefox без prot_exec не работает. Firefox не нужен?

>> умение pax mprotect в dlopen и возможность его (pax mprotect'а) отключения через pax-flags - это достоинство. К разговору о том, где W^X pt2 позволяет что-то гарантировать, а где нет, ага.
> PAX - правильная реализация строгой защиты памяти которая таки дает гарантии!

Мне тут рассказывали (проверять поленился, ибо неинтересно), что подгрузить so'шку (со всеми вытекающими) можно даже при включённом pax mprotect. Т.е. строгость, видимо, таки мнимая.

>[оверквотинг удален]
> заглавиях бинарей) это значит что админ может отключить какую-то защиту:
> * постраничный защиту памяти
> * посегментную защиту памяти
> * защиту памяти mprotect
> * мелкие области памяти emutramp
> * рандомизацию адресного пространства
> Защиту pax атрибутов можно организовать простым патчем к IMA/EVM. И при этом
> есть гарантии неизменности PAX атрибутов. Если вы отключили защиту для некого
> бинаря то защиты естественно у вас нет, но это ваш выбор,
> как и выбор CONFIG_PAX_XATTR_PAX_FLAGS=y

Всё вышенаписанное можно свести к более простому, если без фанатичного переливания из пустого в порожнее:

1) Гарантий нет, защиты можно отключить на лету
2) А если собрать ядро так, что их отключить будет нельзя, работать будет не только лишь всё, что для ОС общего назначения неприемлемо.
3) per doll it sya ради "неизменных PAX атрибутов" никто не будет. Единственная ОС общего назначения, где есть pax mprotect из коробки - netbsd, но и там есть возможность его выключения как глобально, так и для отдельных бинарников.

Короче, блажен кто верует.