Apache Httpd основная подлинная функциональность имеют постоянное сравнение пароля времени?
Когда я использую Apache основная подлинная функциональность Httpd, иногда я замечаю, что неправильные пароли, кажется, занимают больше времени, чем правильные пароли для проверки.
Apache Httpd имеют опцию для постоянных сравнений пароля времени?
Может быть искусственная задержка для неудачных паролей, но тестирование здесь не выявляет разницы во времени между правильным и неправильным паролями (их время смешано).
Однако я должен учтите, что даже если такая разница была, она не имеет значения. Важным моментом является то, что два неправильных пароля не имеют разницы во времени в зависимости от их расстояния до правильного пароля.
Учитывая, что apache использует хешированные пароли, нет никакого способа плохая реализация может показать это. В худшем случае злоумышленник, который также знал соль (в этом случае он также получил бы хэш пароля одновременно), мог бы обнаружить хешированный пароль ... если бы он смог вычислить (частичные) прообразы (т.е. нарушить хэш-функцию ).
Поскольку apache не использует функции хеширования паролей там, где это возможно, невозможно использовать эту разницу во времени.Даже если Apache не сравнивает хэши в постоянное время, что он может делать.