<p dir="ltr"><br>
On 2 Sep 2014 00:59, "Antoine Pitrou" <<a href="mailto:solipsis@pitrou.net">solipsis@pitrou.net</a>> wrote:<br>
><br>
> On Tue, 2 Sep 2014 00:53:11 +1000<br>
> Nick Coghlan <<a href="mailto:ncoghlan@gmail.com">ncoghlan@gmail.com</a>> wrote:<br>
> > ><br>
> > > To be frank I don't understand what you're arguing about.<br>
> ><br>
> > When I said "shadowing ssl can be tricky to arrange", Chris correctly<br>
> > interpreted it as referring to the filesystem based privilege escalation<br>
> > scenario that isolated mode handles, not to normal in-process<br>
> > monkeypatching or module injection.<br>
><br>
> There's no actual difference. You can have a sitecustomize.py that does<br>
> the monkeypatching or the shadowing. There doesn't seem to be anything<br>
> "tricky" about that.</p>
<p dir="ltr">Oh, now I get what you mean - yes, sitecustomize already poses the same kind of problem as the proposed sslcustomize (hence the existence of the related command line options).</p>
<p dir="ltr">I missed that you had switched to talking about using that attack vector, rather than trying to shadow stdlib modules directly through the filesystem (which is the only tricky thing I was referring to).</p>
<p dir="ltr">Cheers,<br>
Nick.<br>
</p>