<p>अनुरोध [सुरक्षा] / PyOpenSSL अनुरोधों को अधिक सुरक्षित लेकिन अधिक भंगुर नहीं बनाता है</p>

को निर्मित 18 नव॰ 2019 · 3टिप्पणियाँ · स्रोत: psf/requests

अनुरोधों ने कई साल पहले requests[security] निर्भरता को जोड़ा, क्योंकि पायथन के stdlib में ssl मॉड्यूल में कुछ सुविधाओं की कमी थी। चूंकि PEP 466 को Python 2.7.9 में लागू किया गया है, ssl मॉड्यूल होस्टनाम सत्यापन और SNI का समर्थन करता है। 2.7.9 2014 में जारी किया गया था। पायथन 3.7.0 ने ओपनएसएसएल को होस्टनाम सत्यापन सौंपकर स्थिति में और सुधार किया। urllib3 में PyOpenSSL संगतता परत पदावनत ssl.match_hostname फ़ंक्शन या बैकपोर्ट का उपयोग करती है।

urllib3.contrib.pyopenssl.inject_into_urllib3 साथ urllib3 के बिना शर्त बंदर-पैचिंग भी समस्याएं पैदा कर रहा है।

PyOpenSSL गतिशील libffi कॉलबैक का उपयोग करता है (जिसे cffi पुरानी शैली कॉलबैक भी कहा जाता है)। कॉलबैक ट्रैम्पोलिन और देशी मशीन कोड के गतिशील निर्माण के साथ कार्यान्वित किए जाते हैं। यह या तो निष्पादन योग्य और लिखने योग्य मेमोरी पेज या साझा एमएमएपी () क्षेत्रों के साथ कुछ हैक्स का उपयोग करता है। डायनामिक कॉलबैक एक सुरक्षा जोखिम है और अच्छे कारणों (deny_execmem) के लिए SELinux जैसे सुरक्षा ढांचे द्वारा अवरुद्ध है। आर्मिन रिगो और मैंने इन समस्याओं को हल करने के लिए विभिन्न तरीकों का पता लगाया, लेकिन इसका सरल समाधान है। अंततः आर्मिन ने cffi के लिए एक नया कॉलबैक सिस्टम लागू किया। पुराने कॉलबैक वाले कुछ मुद्दों को https://cffi.readthedocs.io/en/latest/using.html#callbacks -old-style पर प्रलेखित किया गया है।

PyOpenSSL वर्तमान में क्रिप्टोग्राफी के एक संस्करण में खींचता है, जो स्वयं asn1crypto पर निर्भर करता है। Asn1crypto और ctypes के साथ एक समस्या के कारण Python को हाल के macOS, https://github.com/pyca/pyopenssl/issues/874 और https://github.com/wbond/asn1crypto/issues/158 पर segfault करने का कारण बनता है।

https://bugzilla.redhat.com/show_bug.cgi?id=1535689 जैसे बग के कारण मैंने फेडोरा और आरएचईएल अनुरक्षकों को कुछ समय पहले पैच अनुरोधों और inject_into_urllib3 छोड़ने के लिए मना लिया। डिस्ट्रोस पैच के साथ चल रहा है https://src.fedoraproject.org/rpms/python-requests/blob/master/f/Don-t-inject-pyopenssl-into-urllib3.patch बिना किसी रिपोर्ट के एक साल से अधिक समय से। .

मैं प्रस्ताव करता हूं:

1) requests[security] अतिरिक्त आवश्यकता निकालें।
2) अनुरोधों से urllib3 के बिना शर्त बंदर-पैच निकालें।

स्रोत

tiran

👍5 🎉1

सबसे उपयोगी टिप्पणी

ऐसा लगता है कि #5443 को मर्ज करने के बाद इसे बंद नहीं किया गया था। मुझे लगता है कि एकमात्र बकाया वस्तु requests[security] । मैं इसे अभी के लिए छोड़ने के लिए इच्छुक हूं, जो अभी भी <पायथन 2.7.9 का उपयोग करके वहां से बाहर है। यह देखते हुए कि हम इस सप्ताह urllib3 के साथ एक नया लघु संस्करण जारी कर रहे हैं, हम अगली छोटी रिलीज़ के लिए अतिरिक्त पर एक बहिष्करण नोटिस जोड़ सकते हैं।

मैं आगे बढ़ूंगा और कल इसे हल करूंगा जब तक कि किसी के पास और प्रतिक्रिया न हो। मुझे लगता है कि प्रारंभिक अनुरोध अब हल हो गया है।

nateprewitt 10 नव॰ 2020

👍4

सभी 3 टिप्पणियाँ

अनुरोधों के लिए इस दिशा का समर्थन करने के लिए एक डेटा-पॉइंट और urllib3: 91% (7,298,352 / 7,993,356) urllib3 के लिए Python 2.7.X डाउनलोड Python 2.7.9+ पर थे। आज के लिए सार्वजनिक डाउनलोड डेटा-सेट से लिया गया।

sethmlarson 18 नव॰ 2019

अनुपात और भी बड़ा है। RHEL 7 मशीनों पर Python 2.7.5 का PEP 466 का बैकपोर्ट भी है।

$ rpm -qa python
python-2.7.5-88.el7.x86_64
$ python
Python 2.7.5 (default, Sep 26 2019, 13:23:47) 
[GCC 4.8.5 20150623 (Red Hat 4.8.5-39)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import ssl
>>> ssl.SSLContext(ssl.PROTOCOL_SSLv23).check_hostname
False

tiran 18 नव॰ 2019

nateprewitt 10 नव॰ 2020

👍4

क्या यह पृष्ठ उपयोगी था?

0 / 5 - 0 रेटिंग्स

<p>अनुरोध [सुरक्षा] / PyOpenSSL अनुरोधों को अधिक सुरक्षित लेकिन अधिक भंगुर नहीं बनाता है</p>

सबसे उपयोगी टिप्पणी

सभी 3 टिप्पणियाँ

संबंधित मुद्दों