Correlati are-there- a prova di qualsiasi-lavoro-of-concept-string-confronto-timing-attacchi
Stavo cercando di fare un po 'di crittografia e hashing in PHP e ho trovato questa nota
Please be careful when comparing hashes. In certain cases, information can be leaked by using a timing attack. It takes advantage of the == operator only comparing until it finds a difference in the two strings.
Mi sembra che nella maggior parte dei casi la differenza nel confronto di due stringhe sia solo di alcuni cicli di clock. Dato il sovraccarico in HTTP, PHP e cambiamenti nella latenza di rete, ci sarà molta variazione nel tempo impiegato per elaborare una richiesta. Non vedo che usare un simile attacco su internet pubblico.
Un simile attacco è mai stato dimostrato in una situazione reale?
Non sto dicendo che non dovresti proteggerti contro nel caso in cui, mi chiedo solo quanto sia grande il rischio.