crtxcr/cgitsb
1
0
Bifurcation 0
Code Tickets Demandes d'ajout Publications Wiki Activité

auth: lua string comparisons are time invariant

Parcourir la source 
By default, strings are compared by hash, so we can remove this comment.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>
Cette révision appartient à :
Jason A. Donenfeld 2014-01-16 19:47:35 +01:00
Parent b826537cb4
révision df00ab1096
1 fichiers modifiés avec 2 ajouts et 2 suppressions
Voir les Statistiques Télécharger le Fichier Patch Télécharger le Fichier des Différences Développer tous les fichiers Réduire tous les fichiers

4
filters/simple-authentication.lua
Voir le fichier

@ -45,7 +45,7 @@ function authenticate_post()
redirect_to(redirect)
-- TODO: Implement time invariant string comparison function to mitigate timing attack.
-- Lua hashes strings, so these comparisons are time invariant.
if password == nil or password ~= post["password"] then
set_cookie("cgitauth", "")
else
@ -222,7 +222,7 @@ function validate_value(cookie)
return nil
end
-- TODO: implement time invariant comparison to prevent against timing attack.
-- Lua hashes strings, so these comparisons are time invariant.
if hmac ~= crypto.hmac.digest("sha1", value .. "|" .. tostring(expiration) .. "|" .. salt, secret) then
return nil
end