<p dir="ltr"><br>
On Sep 15, 2015 7:23 PM, "Stephen J. Turnbull" <<a href="mailto:stephen@xemacs.org">stephen@xemacs.org</a>> wrote:<br>
><br>
> A pseudo-randomly selected recent quote:<br>
><br>
>  > It would never occur to me to reach for the random module if I want<br>
>  > to do cryptography.</p>
<p dir="ltr">> That doesn't mean that security has to be #1 always and everywhere in<br>
> designing Python, but I find it pretty distressing that apparently a<br>
> lot of people either don't understand or don't care about what's at<br>
> stake in these kinds of decisions *for the rest of the world*.<br>
> The reality is that security that is not on by default is not<br>
> secure.  Any break in a dike can flood a whole town.</p>
<p dir="ltr">This feels somewhere between disingenuous and dishonest. Just like I don't use the random module for cryptography, I also don't use the socket module or the threading module for cryptography.</p>
<p dir="ltr">Could a program dealing with sockets have security issues?! Very likely! Could a multithreaded one expose vulnerabilities? Certainly!</p>
<p dir="ltr">Should we try to "secure" these modules for users who don't need to our don't know to think about security? Absolutely not!</p>