PHP本体でタイミング攻撃を防御できるようになります

(Last Updated On: 2021年3月25日) PHP 5.6からタイミング攻撃に対する対策が導入されます。メジャーなアプリケーションはタイミング攻撃対策が導入されていますが、PHP 5.6から簡単に対策できるようになります。 タイミングセーフな文字列比較関数はhash_equalsとして実装されました。 http://php.net/manual/es/function.hash-equals.php タイミング攻撃とは タイミング攻撃とは、コンピュータが動作する時間の違いを測って攻撃する、サイドチャネル攻撃（副作用攻撃）と呼ばれる攻撃手法の１つです。HTTPSの圧縮の副作用を利用したサイドチャネル攻撃が有名です。 コンピュータの動作時間、温度、音、電子ノイズ、電力使用量など、アルゴリズム自体の脆弱性を攻撃するのではなく副産物を利用する攻撃方法でサイドチャネル攻撃の一種です。

[megazalrock]

“よく映画で機械を使ってパスワードやパスコードを一文字づつ解析するシーンがありますが、それと全く同じ要領です。”そういうことだったのか（多分違う）

[paschen00]

いんたーねっと経由で本当に成り立つ攻撃なのだろうか / PHP本体でタイミング攻撃を防御できるようになります

[rna]

タイミング攻撃の解説

[tohokuaiki]

タイミング攻撃。外部入力値に対して処理する時間が異なる関数や演算は、その遅延時間を知ることでパスワードの長さを推測することができる。

[unarist]

マニュアル読むとcrypt結果の比較に使うといいって書かれてるんだが、5.6にできるならpassword_hash/verify使うよ・・・。

[y_guriko]

ほぇ〜

[peccu]

タイミング攻撃すげぇ } PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog

[kazuyadesse]

( ´ ▽ ` )ﾉ

[localdisk]

あとでよむ