<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Sep 1, 2014, at 1:01 PM, Christian Heimes <<a href="mailto:christian@python.org" class="">christian@python.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">On 01.09.2014 17:35, Nick Coghlan wrote:<br class=""><blockquote type="cite" class="">Oh, now I get what you mean - yes, sitecustomize already poses the same<br class="">kind of problem as the proposed sslcustomize (hence the existence of the<br class="">related command line options).<br class=""></blockquote><br class="">If an attacker is able to place a module like sitecustomize.py in an<br class="">import directory or any .pth file in a site-packages directory than this<br class="">Python installation is compromised. .pth files are insidious because<br class="">they are always loaded and their code is always executed. I don't see<br class="">how sslcustomize is going to make a difference here.<br class=""><br class=""></div></blockquote><br class=""></div><div>Right, this is the point I was trying to make. If you’ve installed a malicious</div><div>package it’s game over. There’s nothing Python can do to help you.</div><br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">---</div><div class="">Donald Stufft</div><div class="">PGP: 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA</div></div></div>
</div>
<br class=""></body></html>