<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Aug 2, 2018 at 12:46 AM, Richard Wordingham <span dir="ltr"><<a href="mailto:richard.wordingham@ntlworld.com" target="_blank">richard.wordingham@ntlworld.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 1 Aug 2018 17:31:06 -0700<br>
<span class="">Behdad Esfahbod <<a href="mailto:behdad@behdad.org">behdad@behdad.org</a>> wrote:<br>
<br>
> On Mon, Jul 30, 2018 at 6:21 PM, Richard Wordingham <<br>
> <a href="mailto:richard.wordingham@ntlworld.com">richard.wordingham@ntlworld.<wbr>com</a>> wrote:  <br>
> <br>
> > On Mon, 30 Jul 2018 17:04:42 -0700<br>
> > Behdad Esfahbod <<a href="mailto:behdad@behdad.org">behdad@behdad.org</a>> wrote:<br>
<br>
</span><span class="">> > > It's impossible to hit that limit...  Ok, it would be impossible<br>
> > > if we increase it to 32.  I'll do that.  <br>
<br>
> > That'll probably work, but I'm now intrigued.  Why have a limit that<br>
> > will never be hit?  Are you just catering for HarfBuzz's logic<br>
> > simply going badly wrong in very unusual circumstances?<br>
<br>
> Yes, simply as defense against malicious fonts and how the subsetter's<br>
> glyph-closure routine can be tricked to collect (way) more glyphs than<br>
> shaper can actually reach.<br>
<br>
</span>But if the limit is never hit, then the defence is never used, and so<br>
it may as well not be there.  Or is it meant to initimidate<br>
designers of malicious fonts who study Harfbuzz?<br><div class="HOEnZb"><div class="h5"></div></div></blockquote><div><br></div><div>The limit is never hit **during shaping**.  But our current glyph_closure() can get tricked by malicious fonts without this limit. Hence the limit.<br></div></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">behdad<br><a href="http://behdad.org/" target="_blank">http://behdad.org/</a></div>
</div></div>