<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Oct 31, 2013, at 2:56 PM, Andrea Giammarchi wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">Sorry, secure was actually "reliable", as being secure about the type, not about security itself.<div><br></div><div>A case where I do use instanceof is, example, with new String to easily decide later on what to do with such object that should not be treated as such.</div>
<div><br></div><div>The script does resolve circular dependencies backward and forward out of JSON.stringiy and JSON.parse that do create objects from the current realm.</div><div><br></div><div>Nothing else than `instanceof` is as usable/useful in current ESX spec for same purpose in terms of performance and reliability.</div>
<div><br></div><div><a href="https://github.com/WebReflection/circular-json/blob/master/src/circular-json.js#L108">https://github.com/WebReflection/circular-json/blob/master/src/circular-json.js#L108</a><br></div><div><br>
</div><div>Just one case, still `instanceof` is used a lot and usually for good reasons, ...</div></div></blockquote><div><br></div><div>Well I promised I'd explain how I'd eliminate use of 'instanceof' so here goes. Note that since this is in the context of talking about possible ES extensions I'll assume those are available.</div><div><br></div><div>First, you're using (lines 20) String wrapper objects(with the name String aliased to $String)  to pass around string values that require special processing.  Personally, I find this a little too subtle.  In ES6 I'd do this way instead:</div><div><br></div><div>const isSpecialString = Symbol.for("isSpecialString");  //registration proposal in <a href="http://esdiscuss.org/topic/comments-on-sept-meeting-notes#content-76">http://esdiscuss.org/topic/comments-on-sept-meeting-notes#content-76</a> </div><div>class SpecialString extends String {</div><div>   constructor(str) {</div><div>       super(str.slice(1)) //move string preprocessing into constructor</div><div>   }</div><div>   [isSpecialString]() {return isSpecialString in this};  //not really intended to be called</div><div>}</div><div><br></div><div>In line 110 I'd use</div><div>    Array.isArray(current) </div><div>instead of </div><div>    current instanceof Array </div><div>(note that JSON processing was one of the original use cases that motivated Array.isArray)</div><div><br></div><div>In line 114, instead of</div><div> current instanceof $String ?</div><div>i'd use</div><div> isSpecialString in  current ?    //note works cross-realm, if that is what is desired. </div><div><br></div><div>I may be missing something WRT possible cross-realm issues, but in line 126 I'd replace</div><div>   current instanceof Object</div><div>with</div><div>   typeof current ==  'object'</div><div>but, I'm really thinking that I must be missing something that motivated your use of instanceof.  Is the supposed to be a Realm check?</div><div><br></div><div><blockquote type="cite"><div dir="ltr"><div>... not because we are all bad developers (I hope ...)</div></div></blockquote><br></div><div>No, but possibly developers who learned (or were taught be people who learned) about such things in a language context where static nominal class tests make more sense.</div><div><br></div><div>Allen</div><div><br></div><div><br></div><div><br></div><br><blockquote type="cite"><div dir="ltr"><div><br></div><div>Cheers</div><div><br></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Oct 31, 2013 at 2:32 PM, Allen Wirfs-Brock <span dir="ltr"><<a href="mailto:allen@wirfs-brock.com" target="_blank">allen@wirfs-brock.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word"><br><div><div class="im"><div>On Oct 31, 2013, at 1:58 PM, Andrea Giammarchi wrote:</div><br><blockquote type="cite"><div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">I think the question is legit and </span>this is a weak check<div>
<br></div><div><span style="font-family:arial,sans-serif;font-size:13px">`'throw' in possibleGenerator`</span><br>
</div><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">specially if you have Dictionary like objects around ...</span></div></div>
</blockquote><div><br></div></div><div>And why would such an object be passed into a context where you expect to have a generator?  That would probably be an upstream bug and cause a downstream failure.  Presumably you should have tests that look for such failures.</div>
<div class="im"><blockquote type="cite"><div dir="ltr"><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">'length' in object does not tell you much, does it? </span></div>
<div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div></div></blockquote></div><div>who is that relevant?  If you need to condition something on the existence of a length property, you can.  But in most situations you don't want to do such tests.  Just access the property and use it/call it.  It it is the right kind of object things will work.  If it is the wrong kind, it is somebody's bug.  </div>
<div class="im"><blockquote type="cite"><div dir="ltr"><div><span style="font-family:arial,sans-serif;font-size:13px">`Object.prototype.toString` is abused all over client/server libraries/utilities since ducks sometimes might look like gooses too.</span></div>
</div></blockquote><div><br></div></div><div>Any, quite likely, most commonly used for unnecessary nominal type tests.</div><div class="im"><div><br></div><blockquote type="cite"><div dir="ltr"><div><span style="font-family:arial,sans-serif;font-size:13px">So eventually would you don't want developers to really know what they are dealing with and promote weak feature detections instead? It might work, but that ain't secure.</span></div>
</div></blockquote><div><br></div></div><div>Yes, no. Good OO is about letting go of knowledge of an objects implementation.  In most cases you should only be concerned about the object behavior you will use and not care about who implemented it or how or whether or not there are multiple interoperable implementations operating.  But you should be feature testing for the behavior you depend upon.  Just invoke it.  It the method need isn't there you are usually going to get an exception, typically sooner that latter.   Feature detection shouldn't be  used as poor-man nominal type checking (where you throw if it fails).  You should only use feature checking, when you have real alternative paths to take depending upon the presence of the feature. </div>
<div><br></div><div>"Secure"?  What kind of security for what purpose? Every little about JS is secure.</div><div><br></div><div>Of course, there really are some places where you really do need to do a brand check for a specific object implementation.   In those cases, the implementation of the object should include brand checking in its design and expose an appropriate function for doing the check.  But a general purpose mechanism is an attractive nuisance, and probably doesn't actually do the check you need for your specific use case.</div>
<div class="im"><div><br></div><blockquote type="cite"><div dir="ltr"><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">I still prefer `instanceof` for better performance since I don't usually work with different realm but I also would like to have an `Object.is(SomeClass, object);` facility instead of the boring, slow, and inappropriate `{}.toString.call(obj)` check.</span></div>
</div></blockquote><div><br></div></div><div>Show me real use cases and I'll try to explain with the check isn't needed.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>Allen</div><div><br></div>
</font></span></div><br></div></blockquote></div><br></div>
</blockquote></div><br></body></html>