Что плохого в сравнении строк за постоянное время?

Question

[kot-samolet]

Из документации PHP:

Учтите, что, если вы используете функцию crypt() для проверки пароля, то вам нужно предостеречь себя от атак по времени, применяя сравнение строк, которое занимает постоянное время. Ни операторы PHP == и ===, ни функция strcmp() не являются таковыми. Функция же password_verify() как раз делает то, что нужно.

Что плохого в сравнении строк, которое занимает постоянное время? password_verify() видимо делает это дольше, препятствуя перебору, но почему такая странная формулировка, так бы и написали что работает слишком быстро, поэтому, не подходит.

Comments

[zvonok1337]

атака по времени - это имеется в виду, что на каждое математическое действие при сравнении строк тратится определённое время. и вот если злоумышленник знает точно затраченное время, то он сможет подобрать такую же комбинацию, которая будет сравниваться точь-в-точь столько же секунд, сколько и основная строка или увеличить время работы какой-то проверяющей функции. Соответственно, если время увеличилось, значит первый символ подошел

хорошо здесь описано
https://security.stackexchange.com/questions/11300...

если сможете реализовать быструю функцию, которая вне зависимости от входящих данных сравнивает эти две величины за постоянное время, то как говорится, флаг вам в руки

password_verify делает это сравнение как раз-таки за постоянное время вне зависимости от входящих данных

атака перебором - это другой способ атаки

[kot-samolet]

Xenywest, спасибо, так всё понятно