4
我們正在運行Fortify的掃描各種Drupal模塊,以及一個共同的關鍵/高結果是「不安全的隨機性」。它指出rand()函數不能承受加密攻擊。地址不安全的隨機數生成的PHP
我的問題 - 這是一個嚴重的問題?如何解決它在PHP中?
謝謝。
A
回答
2
的這個問題的答案完全取決於你使用從蘭特的結果是什麼()調用。
如果你使用他們喜歡的事情加密密鑰,該工具的安全性取決於你的隨機數的隨機性,那麼,是的,這是一個嚴重的問題。在這種情況下,您不應該調用rand()或mt_rand(),因爲它們都不會生成隨機的數字,這些隨機數字依賴於加密使用。您真的想要利用您在底層僞隨機數生成器(PRNG)上運行的平臺 - Unix/Linux系統上的/ dev/urandom或Windows系統上的crypto-api - 因爲這些已廣泛研究併產生真正適用於密碼系統的隨機數字。 PHP不會輕易訪問這些隨機源,但是如何做到這一點存在示例(例如 - >http://www.php.net/manual/en/function.mt-rand.php#83655)。
如果您使用的是別的東西隨機量,想隨機哪個選項呈現給用戶至上,或類似的東西,在這裏生產的是沒有任何密碼學的方式被使用的號碼,那麼你可以是能夠使用rand()或mt_rand()離開。但是,如果您的應用程序/模塊的安全性依賴於良好的隨機數,那麼您確實需要利用OS源,如上所述。
0
相關問題
- 1. 加密安全隨機數生成器
- 2. 生成一個隨機的mac地址
- 3. 安全地生成一致隨機的BigInteger
- 4. C#生成一個隨機IP地址
- 5. C#中OAuth隨機數的線程安全隨機數/字符串生成器
- 6. 隨機ID /數生成PHP
- 7. Haskell中的隨機數生成器是線程安全的嗎?
- 8. 隨機生成的數字和安全隨機生成的數字有什麼區別?
- 9. 使用安全隨機生成隨機密碼
- 10. C++ 11隨機數生成器的線程安全性
- 11. GSL + OMP:線程安全的隨機數生成器在C++
- 12. 用於C#的快速線程安全隨機數生成器
- 13. qrand不生成隨機數
- 14. 生成隨機的文件名安全和URL安全的字符串
- 15. 隨機地形生成
- 16. 隨機數的生成
- 17. Cuda的隨機數生成
- 18. JDK中沒有安全隨機數生成器
- 19. 生成隨機數
- 20. 隨機數生成
- 21. 生成隨機數
- 22. PHP生成隨機密碼
- 23. 我看不到生成的隨機數
- 24. 生成不同的隨機數
- 25. 生成不同的隨機數
- 26. 高效地生成離散隨機數
- 27. 最安全的方式來爲cookie生成隨機會話ID?
- 28. 隨機數生成機制
- 29. 用於蒙特卡羅集成的線程安全隨機數生成
- 30. ZF3 Zend \ Math \ Rand「這個PHP環境不支持安全的隨機數生成。」 PHP 5.6這個Mcrypt和OpenSSL
類似http://stackoverflow.com/questions/1182584/secure-random-number-generation-in-php – TheOx 2012-04-18 19:07:23