Durante lo sviluppo di un'applicazione Ruby on Rails utilizzando una libreria di autenticazione di uso comune chiamata devise , ho notato dal prefisso $2a$
degli hash delle password prodotte nel database dell'applicazione che sta usando una variante di bcrypt.
Ho letto su crypt e bcrypt su Wikipedia e ho notato che le varianti più recenti di bcrypt dovrebbe produrre un prefisso di $2y$
perché un'implementazione non OpenBSD da parte di qualcuno di nome Solar Designer ha avuto un "grave difetto di sicurezza" nel 2011 e quindi non è chiaro se gli hash $2a$
siano stati prodotti da una implementazione sicura.
Ho scoperto che escogitare utilizza un legame C e Java denominato bcrypt-ruby che raggruppa in effetti un Implementazione C copiata da John the Ripper che viene dichiarata scritta da un progettista solare. Ora mi chiedo se questa implementazione potrebbe essere ancora vulnerabile a questo "grave difetto di sicurezza".
Qualcuno può illuminare questo argomento?
Aggiornamento:
La cronologia delle versioni del file nella cripta Il repository del progetto John the Ripper , da cui il file sembra aver avuto origine, può aiutare a rispondere alla mia domanda.