• はてなブックマーク
  • テクノロジー
  • PHPでパスワード比較に==とか===使っちゃだめって知ってた? - Qiita
  • Twitterでシェア
  • Facebookでシェア

PHPでパスワード比較に==とか===使っちゃだめって知ってた? - Qiita

テクノロジー カテゴリーの変更を依頼 記事元:qiita.com/ariaki
適切な情報に変更
60 usersがブックマーク コメント7
    共有

    • 記事へのコメント7

    • 注目コメント
    • 新着コメント
    その他
    rryu
    rryu 確かに先頭から不一致箇所を探索する方法だと理論的にはタイミング攻撃が可能だが、そんなわずかな差を検出できるのだろうか。

    2020/08/28 リンク

    その他
    ghostbass
    ghostbass どうせハッシュしてるしpassword_hash()したバイト列と保存したバイト列を単純に比較したところで「パスワード文字列の何文字目まで一致している」なんかわかるはずないと思います。

    2020/08/29 リンク

    その他
    habarhaba
    habarhaba タイミング攻撃を知って書きたくなる気持ちは分かるが、それよりもパスワードは生文で扱わない、総当たり攻撃を防ぐ方が重要なことを知っていて欲しい

    2020/08/29 リンク

    その他
    fn7
    fn7 ネットワークレイテンシがかかるところでタイミング攻撃が効果的なのかな。

    2020/08/29 リンク

    その他
    xlc
    xlc バカ? / こういうモノの本質が分からず危機を煽るトンチキがSIerにいると現場は地獄になる。かつて「SQLのWHEREでORを使うときは理由を書いた申請が必要」という現場があった。

    2020/08/29 リンク

    その他
    habarhaba
    habarhaba タイミング攻撃を知って書きたくなる気持ちは分かるが、それよりもパスワードは生文で扱わない、総当たり攻撃を防ぐ方が重要なことを知っていて欲しい

    2020/08/29 リンク

    その他
    fn7
    fn7 ネットワークレイテンシがかかるところでタイミング攻撃が効果的なのかな。

    2020/08/29 リンク

    その他
    sagasite
    sagasite 記事のコメント欄の指摘が有能

    2020/08/29 リンク

    その他
    ghostbass
    ghostbass どうせハッシュしてるしpassword_hash()したバイト列と保存したバイト列を単純に比較したところで「パスワード文字列の何文字目まで一致している」なんかわかるはずないと思います。

    2020/08/29 リンク

    その他
    xlc
    xlc バカ? / こういうモノの本質が分からず危機を煽るトンチキがSIerにいると現場は地獄になる。かつて「SQLのWHEREでORを使うときは理由を書いた申請が必要」という現場があった。

    2020/08/29 リンク

    その他
    yarumato
    yarumato “PHPを含む多くの言語は文字列比較に内部で strcmp() を使う。この関数は脆弱。内部で1バイトずつ比較検証するため、応答時間をもとに先頭から何文字正解だったか推測できる(タイミング攻撃)PHPならhash_equals() 使おう”

    2020/08/29 リンク

    その他
    rryu
    rryu 確かに先頭から不一致箇所を探索する方法だと理論的にはタイミング攻撃が可能だが、そんなわずかな差を検出できるのだろうか。

    2020/08/28 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    PHPでパスワード比較に==とか===使っちゃだめって知ってた? - Qiita

    PHPerの皆さん、重要な文字列を入力データと保管情報を比較するときに比較演算子("=="とか"===")使っ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.