FastNetMon

среда, 31 марта 2010 г.

ПХПшникам привед!

В коде генерации номеров уникальных пользовательских сессий и уникальных идентификаторов (uniqid) PHP найдена недоработка, позволяющая злоумышленнику предсказать другие номера последовательности, зная текущий номер сессии (например, войдя на форум можно подобрать номера сессий других пользователей). Проблема вызвана некорректной инициализацией генератора случайных чисел в PHP, начальные значение затравки для которого можно предсказать с достаточно высокой степенью вероятности.


Это феерия, да. Впрочем, то что пхпшники плохо дружат с головой было ясно всегда, но чтобы до такой степени - это жесть :)

Комментариев нет :

Отправить комментарий

Примечание. Отправлять комментарии могут только участники этого блога.