Náhodná čísla mohou v PHP způsobit bezpečnostní problém

Zdroják » Zprávičky » Náhodná čísla mohou v PHP způsobit bezpečnostní problém

Nálepky:

Server Seclists.org zveřejnil upozornění Weak RNG in PHP session ID generation leads to session hijacking. Podle této zprávy není generátor náhodných čísel (RNG, Random Number Generator) dostatečně „náhodný“, což v důsledku může vést k omezenému množství unikátních identifikátorů, založených na tomto generátoru, a tím ke zjednodušení „brute-force“ útoků např. proti sessions.

Podle článku jsou potřeba určité podmínky k tomu, aby tato bezpečnostní slabina mohla způsobit potíže. Doporučené metody jsou: Nepoužívat přímo výstup funkce uniqid() a nainstalovat Suhosin patch.

Zdroj: PHPArch

Martin Malý

Začal programovat v roce 1984 s programovatelnou kalkulačkou. Pokračoval k BASICu, assembleru Z80, Forthu, Pascalu, Céčku, dalším assemblerům, před časem v PHP a teď by rád neprogramoval a radši se věnoval starým počítačům.

Komentáře

0 Komentářů

Inline Feedbacks

View all comments

Vývoj nezastavíš. 7 developerských přednášek, které rozhýbají vaši práci

Konference WebExpo otevře brány už pošestnácté. Vidíme se v Paláci Lucerna od středy 29. do čtvrtka 31. května na řadu přednášek, workshopů a tři tradiční parties. A na co se těšit? Ředitelka Šárka Štrossová představuje pro čtenáře Zdrojáku sedm přednášek, které by vývojáři neměli minout.

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.

Náhodná čísla mohou v PHP způsobit bezpečnostní problém

Nálepky:

Martin Malý

Komentáře

Microbit robůtek Cutebot s joystickem

Vývoj nezastavíš. 7 developerských přednášek, které rozhýbají vaši práci

Enum a statická analýza kódu

Sledujte Zdroják: