10
Git'de sabit zaman dizisi karşılaştırması yapmanın yerleşik bir yolu mu?Git İçinde Dizeleri Güvenli Karşılaştır
Bu işlevselliğe Ruby uygulamasında ihtiyaç duyduğumda Devise.secure_compare yöntemini kullandım.
A
cevap
17
Dizeler için değil, []byte için. ,
func ConstantTimeCompare(x, y []byte) intConstantTimeCompare iki eşit uzunlukta dilimleri, x ve y, ancak ve ancak 1 döndürür eşit içeriğe sahiptir: Özellikle
ConstantTimeComparecrypto/subtlebakınız. Alınan süre dilimlerin uzunluğunun bir fonksiyonudur ve içerikten bağımsızdır. Eğer, kolayca bir bayt dilime bir dize dönüştürebilirsiniz Bildiğiniz gibi
:
var x []byte = []byte("someString")
+3
Ayrıca 'subtle.ConstantTimeCompare' 'iki eşit uzunluklu dilime' ihtiyaç duyduğu uyarılar nedeniyle dilimlerin uzunluklarını karşılaştırmak için 'subtle.ConstantTimeEq' kullanmak da önemlidir. Aksi takdirde bazı "ince" davranışa sahiptir. Örnek: http://play.golang.org/p/Xga-wsZvhT – Intermernet
+2
Yukarıdaki örnekte (http://play.golang.org/p/Xga-wsZvhT) davranış doğru görünüyor. Eşit uzunlukta olmayan dilimler eşit değildir. – stevvooe
İlgili konular
- 1. İki NSStrings Karşılaştır
- 2. Phonegap içinde güvenli giriş
- 3. Git - İlk önce getirmeden yerel ve uzak karşılaştır?
- 4. Scala maçları/karşılaştırmaları karşılaştır
- 5. GitHub dalların geçerli sürümlerini karşılaştır |
- 6. dealloc içinde dispatch_async güvenli midir?
- 7. node.js içinde console.time() güvenli mi?
- 8. İki Bayt Dizisini karşılaştır? (Java)
- 9. Ben güvenli bir sitede bir sığınakta hizmeti istek başlığı dizeleri
- 10. Ruby Tarihleri karşılaştır
- 11. Perl'da tarih aramayı karşılaştır?
- 12. IntelliJ IDEA sekmeleri karşılaştır
- 13. Döngü için değeri karşılaştır
- 14. jQuery ile karşılaştır
- 15. dizeleri
- 16. Bir plsql döngüsü içinde Oracle'da dizeleri ekleme
- 17. Dizeleri JSTL içinde Başlık durumuna dönüştürme
- 18. ndb görevinin içinde images.get_serving_url_async() kullanmak güvenli midir?
- 19. FindFirst, FindNext & FindClose Konu delphi içinde güvenli
- 20. STM aktarımı içinde izleme kullanmak güvenli midir?
- 21. erlang güvenli tcp içinde {aktif, N} modu
- 22. UTF-16 güvenli altyazı C# .NET içinde
- 23. Rasgele Sayılar Nesnel-C İçinde Güvenli Oluşturma
- 24. Bir servlet içinde java.util.Timer kullanmak güvenli midir?
- 25. Dizeleri
- 26. Javascript Karşılaştır Tarihi ve Saati
- 27. Svn içindeki odt dosyalarını karşılaştır.
- 28. Python'daki listeleri ve sözlükleri karşılaştır
- 29. Değişkenini kabuktaki tamsayı ile karşılaştır?
- 30. Android'de HLS oynamak (alternatifleri karşılaştır)
secure_compare sabit zaman yöntemi değildir, bu dizede her byte üzerinde dolaşır each_byte, aramalar http://apidock.com/ruby/String/each_byte –
"Sabit zaman" ve "güvenli" çok farklı hedeflerdir; lütfen tam olarak ne istediğini netleştirin – Vitruvius
@SethHoenig Zamanlama saldırıları bağlamında. Sabit zaman karşılaştırması zaman karmaşıklığı ile ilgili değildir ve sadece bir fark bulunduğunda karşılaştırma fonksiyonunun erken dönmediği anlamına gelir (bu da girdilerin ne kadar farklı olduğu hakkında bilgi sızdırmaz). Karşılaştırma işlevi daha sonra, içeriğe değil, yalnızca girdilerin uzunluğuna bağlıdır. – nemo