PHP5.4.8までにhashdos攻撃の危険性?
@smbd @ockeghem DoSでサービスが落ちたとして、ソフトウェアに問題がなければ「脆弱性」ではないですよね。hashdosが脆弱性とされた「ソフトウェアの問題」とは何なのだろうか、ということです
2012-11-23 14:42:10@kazuho 『診断屋の多くは「脆弱性」として指摘する』というのは、あくまで現状に対する推測であって、それが正しか、良いかはまた別なのですが
2012-11-23 14:42:41@ockeghem (技術的合理性にもとづく)期待にそわない、例外的に重たくなる状況は潜在的に脆弱性である可能性がありますからね。指摘してくださるのは当然だと納得しました
2012-11-23 14:46:37@kazuho @smbd 脆弱性には2種類ありまして、(a)単純にバグであるもの、(b)セキュリティ機能の不備、です。XSSとSQL Injectionは(a)、CSRFは(b)です。hashdosは微妙ですが(b)に近いかな、という気がします
2012-11-23 14:46:53@ockeghem @kazuho 確かにそうですね。@kazuho さんは(a)の方だけを指して話しをしてるのかな、と思いました
2012-11-23 14:48:32@kazuho @ockeghem ああ、自分もhashdosは(b)だとおもっています。@kazuho さんの"「ソフトウェアの問題」とは何なのだろうか~"のつぶやきは(a)に関するものなのかなーという
2012-11-23 14:50:51まあ a か b かよりも、技術的合理性にもとづいて「脆弱でない」と判断される状況に対して何が足りなかったが故に「脆弱」と判断されたのかを気にしてて、いまのところの答えが http://t.co/4raLgRkN
2012-11-23 14:50:52hashdos 耐性のある(つまりseedによって衝突可能性を変化されることのできる)ハッシュ関数で state-of-art なやつってなんなんだろ。FNV1 とか bernstein とかアウトな気がする
2012-11-23 14:55:36lua だと random seed + secondary hash function としての fnv1 で対策なのかー http://t.co/LWfJCHcP
2012-11-23 14:57:26あーそうか shift じゃなくて rotate 系の動きが入るハッシュ関数なら seed をランダム化するだけでいいのかってのを PERL_HASH_INTERNAL_ 読んで理解
2012-11-23 15:13:10