エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
文字列(ハッシュ)の安全な比較方法 – hash_equals
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
文字列(ハッシュ)の安全な比較方法 – hash_equals
(Last Updated On: 2018年11月2日)映画などでPINコードを一桁づつ解析してドアを開錠する、といったシー... (Last Updated On: 2018年11月2日)映画などでPINコードを一桁づつ解析してドアを開錠する、といったシーンがあると思います。こんなのは”映画の世界だけ”と思っている方も多いと思います。しかし、タイミング攻撃を利用すると”実際にこれと全く同じ方法”で鍵となる情報を解析できます。 タイミング攻撃とはサイドチャネル攻撃の一種で、鍵情報を比較的簡単に解析する方法です。PHP 5.6からはタイミング攻撃に脆弱でない比較方法を提供しています。 結論から書くと、秘密の文字列を比較する場合 if ($secret_str !== $user_input) { // ユーザー提供の秘密情報不一致 die('不正なアクセスです'); } といった通常の文字列は比較は危険です。 if (!hash_equals($secret_st, $user_input)) { die('不正なアクセ