分类: 其他平台
2013-09-28 12:02:46
网易科技讯 9月17日动静,据国外媒体报道,Django开源Web使用框架周一放出一款平安补丁,指出过长的暗码其实也存在平安成绩,轻易被黑客操纵成为DoS进犯手腕之一。
过来相当一段工夫,我们都强调要用庞杂且较长的暗码来庇护我们的数字资产。年夜大都网站在保管用户暗码时会利用PBKDF2等算法停止加密,以让明文信息得以哈希值的方法坚持于数据库中。但是,这种加密进程会请求办事器履行较为庞杂的计较,而暗码越长,所耗费的较量争论时光也就越长。
按照Django昔日的声明指出,,一段长达1兆字节的暗码若采取PBKDF2算法停止加密,需花费效劳器约一分钟摆布的计较工夫。此种环境会被黑客所操纵——即成心频频发送长度较长,且肯定不婚配的暗码,则有能够招致办事器宕机,成为典范的DoS进犯案例。
鉴于此,Django在明天的平安更新中出格对暗码长度停止了限制,为4096个字节。(卢鑫)