hash_equals — 定时攻击安全字符串比较。
我想知道什么是定时攻击安全。
我看到了 hash_equals 的实现
$result = 0;
for ($i = 0; $i < $len; $i++) {
$result |= (ord($known_string[$i]) ^ ord($user_string[$i]));
}
// They are only identical strings if $result is exactly 0...
return 0 === $result;
我想知道时间对比在哪里。
最佳答案
通常,字符串比较( strcmp
或 ==
)会在第一个不匹配的字符处中断,因此如果您的密码是 12345
并且攻击者提供 9xxxx
然后 1xxxx
,她可以测量两次比较之间的时间差并推断出第二个字符串更正确(因为第二次比较花费了更多时间)。 hash_equals
通过始终比较两个字符串的所有字符来消除这种类型的攻击,无论它们是否匹配。因此,越来越少的正确字符串将花费相同的时间。
关于php - hash_equals 和 strcmp 函数的区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31043923/