<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Sep 1, 2014, at 11:35 AM, Nick Coghlan <<a href="mailto:ncoghlan@gmail.com" class="">ncoghlan@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><p dir="ltr" class=""><br class="">
On 2 Sep 2014 00:59, "Antoine Pitrou" <<a href="mailto:solipsis@pitrou.net" class="">solipsis@pitrou.net</a>> wrote:<br class="">
><br class="">
> On Tue, 2 Sep 2014 00:53:11 +1000<br class="">
> Nick Coghlan <<a href="mailto:ncoghlan@gmail.com" class="">ncoghlan@gmail.com</a>> wrote:<br class="">
> > ><br class="">
> > > To be frank I don't understand what you're arguing about.<br class="">
> ><br class="">
> > When I said "shadowing ssl can be tricky to arrange", Chris correctly<br class="">
> > interpreted it as referring to the filesystem based privilege escalation<br class="">
> > scenario that isolated mode handles, not to normal in-process<br class="">
> > monkeypatching or module injection.<br class="">
><br class="">
> There's no actual difference. You can have a sitecustomize.py that does<br class="">
> the monkeypatching or the shadowing. There doesn't seem to be anything<br class="">
> "tricky" about that.</p><p dir="ltr" class="">Oh, now I get what you mean - yes, sitecustomize already poses the same kind of problem as the proposed sslcustomize (hence the existence of the related command line options).</p><p dir="ltr" class="">I missed that you had switched to talking about using that attack vector, rather than trying to shadow stdlib modules directly through the filesystem (which is the only tricky thing I was referring to).</p><p dir="ltr" class="">Cheers,<br class="">
Nick.<br class="">
</p>
_______________________________________________<br class="">Python-Dev mailing list<br class=""><a href="mailto:Python-Dev@python.org" class="">Python-Dev@python.org</a><br class="">https://mail.python.org/mailman/listinfo/python-dev<br class="">Unsubscribe: https://mail.python.org/mailman/options/python-dev/donald%40stufft.io<br class=""></div></blockquote></div><div class=""><br class=""></div><div class="">Or you can just install something with easy_install, or you can drop a .pth file and monkey patch there. You can’t stop people from overriding modules, it’s trivial to do. The sys.path ordering just makes it slightly less trivial.</div><br class=""><div apple-content-edited="true" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">—</div><div class="">Donald Stufft</div><div class="">PGP: 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA</div></div></div>
</div>
<br class=""></body></html>