MD5 vs SHA-1

Михаил Монашёв postmaster at softsearch.ru
Sun Apr 12 08:28:16 UTC 2015


Здравствуйте, Gena.

> Судя по исходникам, nginx использует везде MD5
> - и для кеша и для ngx_http_secure_link_module

Чтобы  испортить  кэш,  злоумышленнику надо найти множество популярных
файлов,  для  каждого  найти  коллизию, вытесняющую популярный файл из
кэша,  и  потом одновременно сделать все запросы, вызывающие коллизии.
Тогда  при  запросе  популярных  файлов будет сделано много запросов к
бэкендам  и  они  от  этого  могут быть перегружены запросами и начать
тормозить.

Определить,  сработала  коллизия  или  нет,  можно  по  времени ответа
кэширующего сервера.

Т.е.  в  теории атака через коллизии ИМХО возможна, особенно, если урл
может  частично формироваться не самим сайтом, а юзерами из вне (через
имя файла, например).

-- 
С уважением,
 Михаил                          mailto:postmaster at softsearch.ru



Подробная информация о списке рассылки nginx-ru