PHP5.4.8までにhashdos攻撃の危険性?
-
- いいね!18
Kazuho Oku
@kazuho
@smbd @ockeghem DoSでサービスが落ちたとして、ソフトウェアに問題がなければ「脆弱性」ではないですよね。hashdosが脆弱性とされた「ソフトウェアの問題」とは何なのだろうか、ということです
2012-11-23 14:42:10
徳丸 浩
@ockeghem
@kazuho 『診断屋の多くは「脆弱性」として指摘する』というのは、あくまで現状に対する推測であって、それが正しか、良いかはまた別なのですが
2012-11-23 14:42:41
Kazuho Oku
@kazuho
@ockeghem (技術的合理性にもとづく)期待にそわない、例外的に重たくなる状況は潜在的に脆弱性である可能性がありますからね。指摘してくださるのは当然だと納得しました
2012-11-23 14:46:37
徳丸 浩
@ockeghem
@kazuho @smbd 脆弱性には2種類ありまして、(a)単純にバグであるもの、(b)セキュリティ機能の不備、です。XSSとSQL Injectionは(a)、CSRFは(b)です。hashdosは微妙ですが(b)に近いかな、という気がします
2012-11-23 14:46:53
Mitsuru SHIMAMURA
@smbd
@ockeghem @kazuho 確かにそうですね。@kazuho さんは(a)の方だけを指して話しをしてるのかな、と思いました
2012-11-23 14:48:32
Mitsuru SHIMAMURA
@smbd
@kazuho @ockeghem ああ、自分もhashdosは(b)だとおもっています。@kazuho さんの"「ソフトウェアの問題」とは何なのだろうか~"のつぶやきは(a)に関するものなのかなーという
2012-11-23 14:50:51
Kazuho Oku
@kazuho
まあ a か b かよりも、技術的合理性にもとづいて「脆弱でない」と判断される状況に対して何が足りなかったが故に「脆弱」と判断されたのかを気にしてて、いまのところの答えが http://t.co/4raLgRkN
2012-11-23 14:50:52
Kazuho Oku
@kazuho
hashdos 耐性のある(つまりseedによって衝突可能性を変化されることのできる)ハッシュ関数で state-of-art なやつってなんなんだろ。FNV1 とか bernstein とかアウトな気がする
2012-11-23 14:55:36
Kazuho Oku
@kazuho
lua だと random seed + secondary hash function としての fnv1 で対策なのかー http://t.co/LWfJCHcP
2012-11-23 14:57:26
Kazuho Oku
@kazuho
あーそうか shift じゃなくて rotate 系の動きが入るハッシュ関数なら seed をランダム化するだけでいいのかってのを PERL_HASH_INTERNAL_ 読んで理解
2012-11-23 15:13:10