Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
tl3shi
V2EX  ›  程序员

这 10 行比较字符串相等的代码给我整懵了,不信你也来看看

  •   
  •   tl3shi · Jun 7, 2020 · 4378 views
    This topic created in 2168 days ago, the information mentioned may be changed or developed.
    boolean safeEqual(String a, String b) {
   if (a.length() != b.length()) {
       return false;
   }
   int equal = 0;
   for (int i = 0; i < a.length(); i++) {
       equal |= a.charAt(i) ^ b.charAt(i);
   }
   return equal == 0;
}

    从效率角度上讲,难道不是应该只要中途发现某一位的结果不同了就可以立即返回两个字符串不相等了吗?

    这里有解密,欢迎关注讨论。

    Supplement 1  ·  Jun 7, 2020

    看来 V 站的都是大神~ NPE 被省去了哈。JDK 中的 java.security.MessageDigest 是有的:

    public static boolean isEqual(byte[] digesta, byte[] digestb) {
   if (digesta == digestb) return true;
   if (digesta == null || digestb == null) {
       return false;
   }
   if (digesta.length != digestb.length) {
       return false;
   }

   int result = 0;
   // time-constant comparison
   for (int i = 0; i < digesta.length; i++) {
       result |= digesta[i] ^ digestb[i];
   }
   return result == 0;
}

    欢迎大佬关注公众号,给予指导。

  • equal
  • length
  • arat
  • string
    18 replies    2020-06-08 10:28:02 +08:00
    xiangyuecn
        1
    xiangyuecn  
       Jun 7, 2020
    如果真需要保护不被时序攻击,理论上这坨代码第一行就会泄露被保密的字符串长度。另外欢迎体验 NullPointerException
    jmc891205
        2
    jmc891205  
       Jun 7, 2020 via iPhone   ❤️ 1
    学习了
    差点因为烂标题错过一篇好文章
    sarvatathagata
        3
    sarvatathagata  
       Jun 7, 2020
    这东西编译器稍微优化优化不就完全不管用了吗
    msg7086
        4
    msg7086  
       Jun 7, 2020
    都写了 safe 了,防止侧信道攻击当然要完整对比完了。
    msg7086
        5
    msg7086  
       Jun 7, 2020   ❤️ 2
    @sarvatathagata 按位或还是挺难优化的,要消除运算量必然要加入分支,而现代处理器上跑分支并不见得更快,所以很大可能编译器不会去尝试这些不会提速的优化。
    murmur
        6
    murmur  
       Jun 7, 2020
    大概原理我都懂,不过现在一般都是 hash 存数据库,不代表说改一位时间长就代表那一位是对的
    而且都侦测电磁信号了,拿着刀夹脖子逼你说出密码不是更好么
    lpts007
        7
    lpts007  
       Jun 7, 2020 via Android
    第一次接触,是通过返回时间判断吗,这也太理论了吧? 1 毫秒的区别也不会有吧,干扰因素那么多,整个返回时间根本不是正相关吧
    Ultraman
        8
    Ultraman  
       Jun 7, 2020 via Android
    同问 1L 的问题,或者说长度不重要吗?
    jiejiss
        9
    jiejiss  
       Jun 7, 2020
    @xiangyuecn #1 是因为语言不同吧,原文写的是 Scala 语言的,字符串的 length 是属性不是方法,不用在调用时计算

    我不太懂 Scala,如果 Scala 是把 length 给搞成 getter 了那还是不行
    wizardoz
        10
    wizardoz  
       Jun 7, 2020   ❤️ 1
    @Ultraman 长度真不重要,长度信息之于密码就像端口之于 ssh 。
    tl3shi
        11
    tl3shi  
    OP
       Jun 7, 2020
    看来 V 站的都是大神~ NPE 被省去了哈。JDK 中是有的。

    ```java
    public static boolean isEqual(byte[] digesta, byte[] digestb) {
    if (digesta == digestb) return true;
    if (digesta == null || digestb == null) {
    return false;
    }
    if (digesta.length != digestb.length) {
    return false;
    }

    int result = 0;
    for (int i = 0; i < digesta.length; i++) {
    result |= digesta[i] ^ digestb[i];
    }
    return result == 0;
    }
    ```
    yukiloh
        12
    yukiloh  
       Jun 7, 2020
    我抓包的时候发现,一些网站传到后台的密码 1 不是明文,2 会加满位数
    这个题目挺有趣的,但是我觉得不实用
    tl3shi
        13
    tl3shi  
    OP
       Jun 7, 2020
    @jmc891205 这年头难啊,不“标题党”都没人点进来。然后点进来吧,又被吐槽标题党了。
    zlfoxy
        15
    zlfoxy  
       Jun 7, 2020
    有点儿基于时间的 sql 盲注的意思。
    xuanbg
        16
    xuanbg  
       Jun 8, 2020
    比较个字符串怎么实现时序攻击?要攻击的话拦截入参就啥都知道了,还要时序攻击做咩?
    killergun
        17
    killergun  
       Jun 8, 2020
    占楼 学习
    Yooloo
        18
    Yooloo  
       Jun 8, 2020
    理解思想就好、实际应用这个还没用到过
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3064 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 56ms · UTC 09:04 · PVG 17:04 · LAX 02:04 · JFK 05:04
    ♥ Do have faith in what you're doing.