在tornado .web 模块有一个名为 _time_independent_equals
的函数:
def _time_independent_equals(a, b):
if len(a) != len(b):
return False
result = 0
for x, y in zip(a, b):
result |= ord(x) ^ ord(y)
return result == 0
它用于比较安全的 cookie 签名,因此也是名称。
但是关于这个函数的实现,难道只是复杂的说a==b
吗?
最佳答案
该函数不只是简单地比较字符串,它会尝试始终花费相同的时间来执行。
这对于比较密码等安全任务很有用。如果函数在第一个不匹配的字节上返回,攻击者可以尝试所有可能的第一个字节并知道花费时间最长的字节是匹配的。然后他们可以尝试所有可能的第二个字节并知道花费时间最长的那个是匹配的。这可以重复直到推导出整个字符串。 (实际上你必须做很多平均来克服网络中的随机延迟,但如果你有耐心,它是有效的。)
关于python - 这个 `_time_independent_equals` 是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3027286/