Qual è il modo più semplice ed efficace per prevenire gli attacchi di temporizzazione per i programmatori che usano PHP?
Sono uno studente delle superiori, sono nuovo alla programmazione e ho imparato la sicurezza da poche settimane. Conosco gli attacchi SQL Injection basati su Blind e Time e so come vengono eseguiti e come possiamo prevenirli. Tuttavia, in questa pagina di documenti PHP spiega che il confronto delle password è anche vulnerabile agli attacchi temporali (quando si usa '==' operatore).
Ho considerato che qualsiasi cosa scritta nel back-end del server con PHP è al sicuro da Prospettiva lato client ma qui il caso è completamente diverso. Gli hacker possono sfruttare i metodi indiretti e indovinare il backend e provare a sfruttarlo. Poiché non ci sono molti tutorial, materiale informativo, informazioni da leggere su come gli attacchi temporali possono essere eseguiti contro lo script PHP che esegue il confronto di 2 stringhe, voglio sapere quali cose tenere a mente per prevenire questo tipo di attacchi.
Voglio che risponda a queste domande.
- Se confronti gli hash con md5, allora sarà applicabile? (prospettiva pratica).
- Se sì, allora ci sono altre cose che potrebbero essere vulnerabili a parte il confronto tra stringhe? (esempi per favore)
- Qual è la cosa migliore che posso fare per impedirlo?
- Questi attacchi sono comuni / sensibili?
- Un breve tutorial / script per dimostrare come funzionano gli attacchi temporali.
Questa domanda non chiede quali sono gli attacchi temporali, ma come vengono eseguiti e come possono essere prevenuti? (solo per i server su PHP)
grazie:)