
<p dir="ltr"><br>

On 26 Feb 2014 04:51, "Antoine Pitrou" <<a href="mailto:solipsis@pitrou.net">solipsis@pitrou.net</a>> wrote:<br>

><br>

> On Tue, 25 Feb 2014 20:38:46 +0200<br>

> Maciej Fijalkowski <<a href="mailto:fijall@gmail.com">fijall@gmail.com</a>> wrote:<br>

> ><br>

> > My impression is that a lot of discussion went into hash<br>

> > randomization, because it was a high profile issue. It got "fixed",<br>

> > then later someone discovered that the fix is completely broken and<br>

> > was left at that without much discussion because it's no longer "high<br>

> > visibility". I would really *like* to perceive this process as a lot<br>

> > of discussion going into because of ramification of changes.<br>

><br>

> Most of the discussion, AFAIR, was about the potential backwards<br>

> compatibility issues (which led to the decision of adding hash<br>

> randomization in 2.7, but disabled by default).<br>

><br>

> But you're right that for some reason it suddenly became a "high<br>

> profile issue" while the general attack mechanism had apparently been<br>

> known for years.<br>

> (and AFAIK there's no proof of actual attacks in the wild)</p>

<p dir="ltr">Remote DOS attacks are so easy and so prevalent that if all a CVE does is make them slightly easier when untrusted input isn't properly validated and resource consumption per request isn't capped, security teams rank it as a pretty low threat and not very interesting.</p>


<p dir="ltr">However, there was a paper that presented this one like it was a big revelation, it stirred up a lot of complaints, so doing something about it ended up being easier than repeatedly explaining why it didn't really matter that much. Donald's right that the original fix just increased the required attack payload size from 1 MB (if I recall the number correctly) to 256 MB total, but at that point attempts to exploit it are starting to look like a more conventional DoS (one that doesn't rely on any particular vulnerability to be effective) anyway.</p>


<p dir="ltr">It's still nice to finally have it fixed properly in 3.4, though, and the original change at least took care of the problem of getting people to update their code that previously relied on consistent dict ordering. Without that previous work, the hash change for 3.4 would have been more challenging.</p>


<p dir="ltr">Cheers,<br>

Nick.</p>

<p dir="ltr">><br>

> Regards<br>

><br>

> Antoine.<br>

><br>

><br>

> _______________________________________________<br>

> Python-Dev mailing list<br>

> <a href="mailto:Python-Dev@python.org">Python-Dev@python.org</a><br>

> <a href="https://mail.python.org/mailman/listinfo/python-dev">https://mail.python.org/mailman/listinfo/python-dev</a><br>

> Unsubscribe: <a href="https://mail.python.org/mailman/options/python-dev/ncoghlan%40gmail.com">https://mail.python.org/mailman/options/python-dev/ncoghlan%40gmail.com</a><br>

</p>