Etikettarkiv: ssl

SSL für alle

På kvällen den 28:e november kommer jag och säkerhetsexperten Peter Magnusson från Omegapoint att prata om SSL. Dragningen är arrangerad av OWASP-Göteborg och öppet för OWASP-medlemmar, bara att anmäla sig. Dragningen startar och sker i Omegapoints lokaler. Jag och Peter kommer bland annat att prata om:

  • Vad SSL är, hur protokollet ser ut och vad det används till.
  • Attacker och svagheter i SSL/TLS. CRIME, BEAST bland annat.
  • Kryptoalgoritmer och vad man kan lita på efter Snowdens avslöjanden
  • Hur SSL/TLS används i praktiken. Vanliga fel och brister.
  • Vad man ska tänk på när man bygger in stöd för SSL/TLS i sina applikationer

Välkomna!

Python 3.2 släppt

Igår söndag släpptes version 3.2 av programspråket Python. Några av nyheterna i Python 3.2 är:

* numerous improvements to the unittest module
* PEP 3147, support for .pyc repository directories
* PEP 3149, support for version tagged dynamic libraries
* PEP 3148, a new futures library for concurrent programming
* PEP 384, a stable ABI for extension modules
* PEP 391, dictionary-based logging configuration
* an overhauled GIL implementation that reduces contention
* an extended email package that handles bytes messages
* a much improved ssl module with support for SSL contexts and certificate
hostname matching
* a sysconfig module to access configuration information
* additions to the shutil module, among them archive file support
* many enhancements to configparser, among them mapping protocol support
* improvements to pdb, the Python debugger
* countless fixes regarding bytes/string issues; among them full support
for a bytes environment (filenames, environment variables)
* many consistency and behavior fixes for numeric operations

För mig som arbetar med säkerhet är uppdateringarna till ssl-modulen den stora förbättringen. Pythons ssl-modul börjar komma ikapp PyOpenSSL och även M2Crypto (som dock innefattar mer än en wrapper till OpenSSL).

Andra bra uppdateringar är att random ger bättre rektangelfördelningar (dvs inte utan den bias den hade förut) samt att modulen hashlib nu har stöd för at lista vilka hashfunktioner som finns samt vilka som garanterat alltid ska finnas.


>>> import hashlib

>>> hashlib.algorithms_guaranteed
{'sha1', 'sha224', 'sha384', 'sha256', 'sha512', 'md5'}

>>> hashlib.algorithms_available
{'md2', 'SHA256', 'SHA512', 'dsaWithSHA', 'mdc2', 'SHA224', 'MD4', 'sha256', 'sha512', 'ripemd160', 'SHA1', 'MDC2', 'SHA', 'SHA384', 'MD2', 'ecdsa-with-SHA1','md4', 'md5', 'sha1', 'DSA-SHA', 'sha224', 'dsaEncryption', 'DSA', 'RIPEMD160', 'sha', 'MD5', 'sha384'}

Tillsammans med en massa buggfixar, förbättrat stöd för loggning samt trimning av GIL gör att Python 3.2 börjar bli en riktigt intressant och stabil bas att bygga ny kod på. Speciellt när Twisted kommer med stöd för Python 3.

För en detaljerad beskrivning av alla nyheter i Python 3.2 se den här sidan.