10
Là cách tích hợp để thực hiện so sánh chuỗi thời gian không đổi trong Go?So sánh an toàn các chuỗi trong Go
Tôi đã sử dụng phương thức Devise.secure_compare khi tôi cần chức năng này trong Ruby.
A
Trả lời
17
Không dành cho chuỗi nhưng đối với []byte. Xem crypto/subtle, đặc biệt là ConstantTimeCompare:
func ConstantTimeCompare(x, y []byte) intConstantTimeCompare trả về 1 khi và chỉ khi hai chiều dài bằng nhau lát, x và y, có nội dung như nhau. Thời gian thực hiện là một hàm của độ dài của các lát và độc lập với nội dung.
Như bạn đã biết, bạn có thể dễ dàng chuyển đổi một chuỗi để một lát byte:
var x []byte = []byte("someString")
+3
Cũng rất quan trọng để sử dụng 'subtle.ConstantTimeEq' để so sánh độ dài của các lát do báo trước rằng' subtle.ConstantTimeCompare' cần "hai lát chiều dài bằng nhau". Nó có một số hành vi "tinh tế" khác. Ví dụ: http://play.golang.org/p/Xga-wsZvhT – Intermernet
+2
Trong [ví dụ] (http://play.golang.org/p/Xga-wsZvhT) ở trên, hành vi có vẻ đúng. Các lát không có chiều dài bằng nhau không bằng nhau. – stevvooe
Các vấn đề liên quan
- 1. So sánh các chuỗi trong Go
- 2. Chức năng so sánh chuỗi an toàn
- 3. Rollover hẹn giờ an toàn (đánh dấu) so sánh
- 4. So sánh các chuỗi trong Java
- 5. so sánh các chuỗi trong bash
- 6. so sánh các chuỗi trong vb
- 7. So sánh các chuỗi trong EL
- 8. chuỗi so sánh phần
- 9. So sánh chuỗi trong .Net: "+" so với "-"
- 10. Chuỗi so sánh trong java
- 11. So sánh chuỗi trong AngularJS
- 12. So sánh chuỗi và thực hiện chuỗi trong Java
- 13. Có an toàn khi sử dụng GetHashCode để so sánh các loại Anonymous giống nhau không?
- 14. ánh xạ không an toàn So sánh bằng cách sử dụng các cài đặt mặc định
- 15. So sánh chuỗi trong Rust
- 16. So sánh chuỗi và byte slice trong Go mà không cần sao chép
- 17. So sánh chuỗi PostgreSQL
- 18. So sánh chuỗi Bash
- 19. so sánh chuỗi bash
- 20. So sánh các chuỗi và mảng C#
- 21. An toàn loại an toàn()
- 22. So sánh các chuỗi ngày tháng trong Java
- 23. So sánh ngày tháng an toàn cho việc phân loại trong Java 8 Stream
- 24. Chuỗi so sánh: toán tử ==() vs Equals()
- 25. "-Weverything" năng suất "So sánh điểm nổi với == hoặc = là không an toàn!"
- 26. So sánh số có nhanh hơn so sánh chuỗi không?
- 27. So sánh và so sánh số nguyên chuỗi PHP Weird
- 28. Lưu trữ chuỗi an toàn trong bộ nhớ từ trong các ứng dụng node.js
- 29. Chuỗi an toàn của Netty Channel.write có an toàn không?
- 30. Là chuỗi String.intern() an toàn
secure_compare không phải là một phương pháp thời gian liên tục, nó gọi each_byte, mà lặp qua tất cả các byte trong chuỗi http://apidock.com/ruby/String/each_byte –
"thời gian cố định" và "an toàn" là các mục tiêu rất khác nhau; xin vui lòng làm rõ chính xác những gì bạn muốn – Vitruvius
@SethHoenig Đó là trong bối cảnh của các cuộc tấn công thời gian. So sánh thời gian không đổi không liên quan đến độ phức tạp thời gian và chỉ có nghĩa là hàm so sánh không trả về sớm khi phát hiện sự khác biệt (có thể làm rò rỉ thông tin về số lượng đầu vào khác nhau). Hàm so sánh sau đó chỉ phụ thuộc vào độ dài của các đầu vào, không phụ thuộc vào nội dung. – nemo