Náhodná čísla mohou v PHP způsobit bezpečnostní problém
13. 4. 2010 14:41
Martin Malý
Server Seclists.org zveřejnil upozornění Weak RNG in PHP session ID generation leads to session hijacking. Podle této zprávy není generátor náhodných čísel (RNG, Random Number Generator) dostatečně „náhodný“, což v důsledku může vést k omezenému množství unikátních identifikátorů, založených na tomto generátoru, a tím ke zjednodušení „brute-force“ útoků např. proti sessions.
Podle článku jsou potřeba určité podmínky k tomu, aby tato bezpečnostní slabina mohla způsobit potíže. Doporučené metody jsou: Nepoužívat přímo výstup funkce uniqid() a nainstalovat Suhosin patch.
Zdroj: PHPArch
Dále čtěte…
- Vyzkoušejte Phing pro deploy PHP aplikací 25. 4. 2012 9:53
- PHP přešlo ze Subversion na Git 21. 3. 2012 8:08
- Architektura aplikace nad Doctrine 2 23. 2. 2012 0:00
- Manifest miniaturního PHP 6. 1. 2012 0:00
- Datový typ ENUM v PHP 4. 1. 2012 0:00
