4
我们正在运行Fortify的扫描各种Drupal模块,以及一个共同的关键/高结果是“不安全的随机性”。它指出rand()函数不能承受加密攻击。地址不安全的随机数生成的PHP
我的问题 - 这是一个严重的问题?如何解决它在PHP中?
谢谢。
A
回答
2
的这个问题的答案完全取决于你使用从兰特的结果是什么()调用。
如果你使用他们喜欢的事情加密密钥,该工具的安全性取决于你的随机数的随机性,那么,是的,这是一个严重的问题。在这种情况下,您不应该调用rand()或mt_rand(),因为它们都不会生成随机的数字,这些随机数字依赖于加密使用。您真的想要利用您在底层伪随机数生成器(PRNG)上运行的平台 - Unix/Linux系统上的/ dev/urandom或Windows系统上的crypto-api - 因为这些已广泛研究并产生真正适用于密码系统的随机数字。 PHP不会轻易访问这些随机源,但是如何做到这一点存在示例(例如 - >http://www.php.net/manual/en/function.mt-rand.php#83655)。
如果您使用的是别的东西随机量,想随机哪个选项呈现给用户至上,或类似的东西,在这里生产的是没有任何密码学的方式被使用的号码,那么你可以是能够使用rand()或mt_rand()离开。但是,如果您的应用程序/模块的安全性依赖于良好的随机数,那么您确实需要利用OS源,如上所述。
0
相关问题
- 1. 加密安全随机数生成器
- 2. 生成一个随机的mac地址
- 3. 安全地生成一致随机的BigInteger
- 4. C#生成一个随机IP地址
- 5. C#中OAuth随机数的线程安全随机数/字符串生成器
- 6. 随机ID /数生成PHP
- 7. Haskell中的随机数生成器是线程安全的吗?
- 8. 随机生成的数字和安全随机生成的数字有什么区别?
- 9. 使用安全随机生成随机密码
- 10. C++ 11随机数生成器的线程安全性
- 11. GSL + OMP:线程安全的随机数生成器在C++
- 12. 用于C#的快速线程安全随机数生成器
- 13. qrand不生成随机数
- 14. 生成随机的文件名安全和URL安全的字符串
- 15. 随机地形生成
- 16. 随机数的生成
- 17. Cuda的随机数生成
- 18. JDK中没有安全随机数生成器
- 19. 生成随机数
- 20. 随机数生成
- 21. 生成随机数
- 22. PHP生成随机密码
- 23. 我看不到生成的随机数
- 24. 生成不同的随机数
- 25. 生成不同的随机数
- 26. 高效地生成离散随机数
- 27. 最安全的方式来为cookie生成随机会话ID?
- 28. 随机数生成机制
- 29. 用于蒙特卡罗集成的线程安全随机数生成
- 30. ZF3 Zend \ Math \ Rand“这个PHP环境不支持安全的随机数生成。” PHP 5.6这个Mcrypt和OpenSSL
类似http://stackoverflow.com/questions/1182584/secure-random-number-generation-in-php – TheOx 2012-04-18 19:07:23