От Wikipedia
В криптографии временная атака представляет собой атаку бокового канала, в которой злоумышленник пытается скомпрометировать криптосистему, анализируя время выполненных для выполнения криптографических алгоритмов.
На самом деле, чтобы предотвратить временные атаки, я использую следующую функцию, взятую из этого ответа:
function timingSafeCompare($safe, $user) {
// Prevent issues if string length is 0
$safe .= chr(0);
$user .= chr(0);
$safeLen = strlen($safe);
$userLen = strlen($user);
// Set the result to the difference between the lengths
$result = $safeLen - $userLen;
// Note that we ALWAYS iterate over the user-supplied length
// This is to prevent leaking length information
for ($i = 0; $i < $userLen; $i++) {
// Using % here is a trick to prevent notices
// It safe, since if the lengths are different
// $result is already non-0
$result |= (ord($safe[$i % $safeLen]) ^ ord($user[$i]));
}
// They are only identical strings if $result is exactly 0...
return $result === 0;
}
Но я думал, если возможно предотвратить такую атаку, используя случайный сон, например
function timingSafeCompare($a,$b) {
sleep(rand(0,100));
if ($a === $b) {
return true;
} else {
return false;
}
}
Или, возможно, увеличение случайности сна
sleep(rand(1,10)+rand(1,10)+rand(1,10)+rand(1,10));
Этот подход может полностью предотвратить временные атаки? Или просто сделать работу сложнее?