MD5 vs SHA-1
Михаил Монашёв
postmaster at softsearch.ru
Sun Apr 12 08:28:16 UTC 2015
Здравствуйте, Gena.
> Судя по исходникам, nginx использует везде MD5
> - и для кеша и для ngx_http_secure_link_module
Чтобы испортить кэш, злоумышленнику надо найти множество популярных
файлов, для каждого найти коллизию, вытесняющую популярный файл из
кэша, и потом одновременно сделать все запросы, вызывающие коллизии.
Тогда при запросе популярных файлов будет сделано много запросов к
бэкендам и они от этого могут быть перегружены запросами и начать
тормозить.
Определить, сработала коллизия или нет, можно по времени ответа
кэширующего сервера.
Т.е. в теории атака через коллизии ИМХО возможна, особенно, если урл
может частично формироваться не самим сайтом, а юзерами из вне (через
имя файла, например).
--
С уважением,
Михаил mailto:postmaster at softsearch.ru
Подробная информация о списке рассылки nginx-ru