10
Czy wbudowany sposób ciągłego porównywania łańcuchów czasu w trybie Go?Bezpieczne porównywanie ciągów w Go
Użyłem metody Devise.secure_compare, gdy potrzebuję tej funkcji w Ruby.
A
Odpowiedz
17
Nie na smyczki, ale na []byte. Patrz crypto/subtle zwłaszcza ConstantTimeCompare:
func ConstantTimeCompare(x, y []byte) intConstantTimeCompare zwraca 1 iff Dwie równe plastry długość, X i Y mają takie same treści. Czas jest funkcją długości odcinków i jest niezależny od zawartości.
Jak wiadomo, można łatwo przekonwertować ciąg do plasterka bajtów:
var x []byte = []byte("someString")
+3
Ważne jest również użycie 'subtle.ConstantTimeEq' do porównania długości plasterków ze względu na zastrzeżenie, że' subtle.ConstantTimeCompare' potrzebuje "dwóch równych kawałków". W przeciwnym razie ma jakieś "subtelne" zachowanie. Przykład: http://play.golang.org/p/Xga-wsZvhT – Intermernet
+2
Powyższe zachowanie wydaje się być poprawne w [przykład] (http://play.golang.org/p/Xga-wsZvhT). Plastry, które nie mają równej długości, nie są równe. – stevvooe
Powiązane problemy
- 1. Porównywanie ciągów znaków w EL
- 2. Porównywanie wielu ciągów w Perl
- 3. Porównywanie dwóch ciągów ruby
- 4. Porównywanie ciągów znaków w formacie "2.0.1", "2.0.09"
- 5. C# - Porównywanie ciągów różnych kodowań
- 6. Szybkie porównywanie ciągów z listą
- 7. Porównywanie ciągów i tablic C#
- 8. Porównanie ciągów w Go
- 9. Porównywanie ciągów znaków i stringów w języku Java
- 10. Porównywanie ciągów w ramce dotnet 4
- 11. Porównywanie ciągów rozdzielanych przecinkami w SQL
- 12. Porównywanie dwóch ciągów w SQL Server
- 13. C# Porównywanie ciągów z różnymi przypadkami
- 14. Porównywanie ciągów z! = Operator dającym różne wyniki?
- 15. Nieczułe na wielkość liter porównywanie ciągów znaków
- 16. Odsyłacz do literałów ciągów w Go
- 17. Czy === w PHP jest binarnie bezpieczne podczas porównywania ciągów znaków?
- 18. Porównywanie ciągów javascript bez rozróżniania wielkich i małych liter
- 19. Czy porównywanie ciągów == działa tylko dlatego, że ciągi są niezmienne?
- 20. Porównywanie dwóch ciągów znaków z "==": kiedy to zadziała?
- 21. Jak bezpieczne i niezawodne są literały ciągów C++?
- 22. Porównywanie dwóch list w Pythonie
- 23. MVC 5/ASP.Net 4.5 Bezpieczne przechowywanie ciągów połączeń
- 24. Go: konwersja ciągów w tablicy na liczbę całkowitą
- 25. Porównanie inteligentnych ciągów znaków
- 26. Porównywanie HashMaps w Javie
- 27. Porównywanie typenames w C++
- 28. Porównywanie list w Pythonie
- 29. Porównywanie dat w ciecz
- 30. Porównywanie obiektów w ruby
secure_compare nie jest stała metoda razem wywołuje each_byte, który wykonuje iteracje nad każdy bajt w ciągu http://apidock.com/ruby/String/each_byte –
"stały czas" i "bezpieczny" to bardzo różne cele; proszę wyjaśnić, co dokładnie chcesz – Vitruvius
@SethHoenig Jest to w kontekście ataków czasowych. Stałe porównywanie czasu nie jest związane ze złożonością czasu i oznacza tylko, że funkcja porównania nie powraca wcześnie, gdy zostanie znaleziona różnica (która mogłaby ujawnić, ile różnią się dane wejściowe). Funkcja porównania zależy wtedy tylko od długości danych wejściowych, a nie od zawartości. – nemo