在Python中利用哈希函数

Question

我提出了一个关于内置python哈希函数的主题：Old python hashing done left to right - why is it bad? 上一个主题是关于为什么它不好加密，因为我们有一个名为Gruyere的应用程序，里面充满了安全漏洞，它使用hash（）来加密cookie。

# global cookie_secret; only use positive hash values 
h_data = str(hash(cookie_secret + c_data) & 0x7FFFFFF) 

c_data是一个用户名; cookie_secret是salt（默认为''''）

我已经实现了一个更安全的加密方法，使用md5哈希与盐，但一个练习是击败这个旧的加密，我仍然不明白如何:-(我'已经阅读了python源代码中的string_hash代码，但它没有记录，我不知道它。

编辑：这个想法是写一个程序，可以创建一个有效的cookie任何有效的用户，所以我想我需要找出cookie_secret以某种方式

Answer 1

Zack在你的最后一个问题中已经描述了答案：很容易找到碰撞

假设你在数据库中保存了hash("pwd")（你实际上做了一些不同的事情并不重要。现在，如果您在网站中输入"pwd"，则可以输入。但是如何检查？同样，"pwd"的散列是标记，并与数据库中的值进行比较。但是如果有第二个字符串，例如"hello"和hash("hello") == hash("pwd")呢？那么你也可以使用"hello"作为密码。所以要打破加密，你不需要找到“pwd”，你只需要任何具有相同散列值的字符串。你可以只搜索这样一个字符串蛮力（我猜你可以根据hash的来源知识做一些优化）