Sono curioso, in che misura le password sono sfruttabili se il confronto delle password sottostanti è vulnerabile agli attacchi temporali. La mia preoccupazione principale è che la velocità di internet varia continuamente, i tempi di risposta del server web cambiano a seconda del carico del server, ecc.
Se la differenza temporale è nel confronto delle password in chiaro, non è davvero fattibile farlo su Internet. Tuttavia, è spesso possibile per l'utente malintenzionato accedere a un computer nella stessa rete o persino a una VM sullo stesso hardware, ospitando il suo attacco con lo stesso provider di hosting del sito Web di destinazione.
Se il sito utilizza password con hash e confronta gli hash anziché la password in chiaro, questo scenario di attacco a tempo non si applica più.
Leggi altre domande sui tag web-application timing-attack