<p>요청[보안] / PyOpenSSL은 요청을 더 안전하게 만들지 않지만 더 취약하게 만듭니다.</p>

요청은 Python의 stdlib에 있는 ssl 모듈에 일부 기능이 없었기 때문에 몇 년 전에 requests[security] 종속성을 추가했습니다. PEP 466이 Python 2.7.9에서 구현되었으므로 ssl 모듈은 호스트 이름 확인 및 SNI를 지원합니다. 2.7.9는 2014년에 릴리스되었습니다. Python 3.7.0은 호스트 이름 확인을 OpenSSL에 위임하여 상황을 더욱 개선했습니다. urllib3의 PyOpenSSL 호환성 계층은 더 이상 사용되지 않는 ssl.match_hostname 함수 또는 백포트를 사용합니다.

urllib3.contrib.pyopenssl.inject_into_urllib3 를 사용한 urllib3의 무조건적인 원숭이 패치도 문제를 일으키고 있습니다.

PyOpenSSL은 동적 libffi 콜백(cffi 구식 콜백이라고도 함)을 사용합니다. 콜백은 트램펄린과 네이티브 기계 코드의 동적 생성으로 구현됩니다. 이것은 실행 가능하고 쓰기 가능한 메모리 페이지 또는 공유 mmap() 영역이 있는 일부 해킹을 사용합니다. 동적 콜백은 보안 위험이며 SELinux와 같은 보안 프레임워크에 의해 차단됩니다(deny_execmem). Armin Rigo와 저는 이러한 문제를 해결하기 위해 다양한 방법을 모색했지만 단순히 해결책이 있습니다. 결국 Armin은 cffi를 위한 새로운 콜백 시스템을 구현했습니다. 이전 콜백과 관련된 일부 문제는 https://cffi.readthedocs.io/en/latest/using.html#callbacks -old-style 에 설명되어 있습니다.

PyOpenSSL은 현재 자체적으로 asn1crypto에 의존하는 암호화 버전을 가져옵니다. asn1crypto 및 ctypes의 문제로 인해 Python은 최근 macOS, https://github.com/pyca/pyopenssl/issues/874 및 https://github.com/wbond/asn1crypto/issues/158 에서 segfault를 발생시킵니다.

https://bugzilla.redhat.com/show_bug.cgi?id=1535689 와 같은 버그로 인해 저는 Fedora 및 RHEL 유지 관리자에게 요청을 패치하고 얼마 전에 inject_into_urllib3 삭제하도록 설득했습니다. 배포판은 보고된 문제 없이 1년 넘게 https://src.fedoraproject.org/rpms/python-requests/blob/master/f/Don-t-inject-pyopenssl-into-urllib3.patch 패치로 실행되었습니다. .

나는 다음을 제안합니다:

1) requests[security] 추가 요구 사항을 제거합니다.
2) 요청에서 urllib3의 무조건 원숭이 패치를 제거합니다.