Summary
In diesem Vortrag werden eine Reihe von Schwachstellen behandeln, die in der Vergangenheit in CPython oder prominenten Pythonprojekten aufgetreten sind. Als Python Kernentwickler und Mitglied des Python Security Response Team war ich in die Analyse und Korrektur, zum Teil auch in die Entdeckung dieser Lücken involviert.
Jede Schwachstelle zählt exemplarisch einen oder mehrere typische Programmierfehler auf. Mit Hilfe von best practices wird gezeigt, wie man sicher mit Betriebsystemressourcen und Daten aus nicht vertrauenswürdigen Quellen umgeht, kryptographischen Algorithmen korrekt verwendet und side channel attacks verhindert.
Desweiteren werde ich einen Ausblick auf geplante Änderungen und sicherheitsrelevante Verbesserungen in Python 3.4 geben. Jenseits von Python wird der Vortrag auch beleuchten, welche Fallstricke und Probleme Compiler, Betriebsysteme und moderne CPU-Architekturen mit sich bringen und sie sogar die Entwicklung sicherer Software verhindern können.