<div dir="ltr"><div class="gmail_extra">On 30 July 2013 07:08, Donald Stufft <span dir="ltr"><<a href="mailto:donald@stufft.io" target="_blank">donald@stufft.io</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Jul 30, 2013, at 1:41 AM, Antoine Pitrou <<a href="mailto:solipsis@pitrou.net">solipsis@pitrou.net</a>> wrote:<br>
<br>
> Paul Moore <p.f.moore <at> <a href="http://gmail.com" target="_blank">gmail.com</a>> writes:<br>
>><br>
>> Personally, none of the changes have detrimentally affected me, so my<br>
>> opinion is largely theoretical. But even I am getting a little frustrated<br>
>> by the constant claims that "what we have now is insecure and broken, and<br>
>> must be fixed ASAP".<br>
><br>
> FWIW, +1. You may be paranoid, but not everyone has to be (or suffer the<br>
> consequences of it). Security issues should be fixed without breaking things<br>
> in a hassle (which is the policy we followed e.g. for the ssl module, or hash<br>
> randomization).<br>
<br>
</div>People are generally not paranoid until they've been successfully attacked. I<br>
*will* advocate and push for breaking things where security is concerned because<br>
regardless of if you care or not, a lot of people *do* care and the nature of the<br>
beast is that you're only as strong as the weakest link. This particular change<br>
wasn't an immediate vulnerability that I felt was urgent, hence why I've backed<br>
off on it when people were concerned about the backwards compat implications. I<br>
will not back off when it comes to issues that *do* have an immediate or near<br>
term issue, regardless of if some people don't care or not.</blockquote></div><br>And in case it's not obvious, I think this is important. We need to have this sort of debate, certainly, but it won't happen without someone advocating (and implementing!) the changes, so many thanks for being that person and putting up with the flak.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">Paul</div></div>