定时攻击是如何工作的?为什么Symfony的字符串实用程序在传递字符串时建议一个精确的顺序来进行比较
定时攻击是如何工作的?为什么Symfony的字符串实用程序在传递字符串时建议一个精确的顺序来进行比较
提问于 2015-08-10 12:18:06
要将散列密码与用户提供的密码进行比较,需要使用Symfony提供的util StringUtil。
文档谈到了“定时攻击”:攻击者可能有关于密码复杂性的有用信息,观察网站需要的时间来比较所提供的密码和它存储的密码。
文件上说也认为
为了避免定时攻击,已知字符串必须是第一个参数,用户输入的字符串必须是第二个参数。
为什么命令很重要?
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-08-11 00:21:54
基于StringUtils,它实际上并不重要。重要的是正确的顺序,例如password_verify()。
文档很可能是指StringUtils,它试图避免泄漏字符串长度。在对过载配置的讨论中,人们认为泄漏长度是不可避免的,字符串长度通常是公开的(例如,对于MAC),通常最好集中于阻止有用信息的泄漏。
在这种情况下,秩序过去很重要,但现在它真的不重要了。
我认为这是一个过时的文件问题。我在symfony-docs中打开一个滴答作响的来纠正它。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/31919358
复制相关文章
相似问题
腾讯云开发者
