မြန်မာဘာသာ
မြန်မာဘာသာ
PHP တွင် Hash_equals () တွင်ကြိုးနှစ်ချောင်းသည်တန်းတူဖြစ်သည့် function တစ်ခုဖြစ်ပြီးအထူးသဖြင့် hash တန်ဖိုးများကိုကိုင်တွယ်ဖြေရှင်းသည့်အခါ, သို့သော်လည်းအဘယ်သူမျှမမှတ်စုတစ်ခုရှိသည်: Hash_equals () နှိုင်းယှဉ်အတွက်အသုံးပြုသော hash တန်ဖိုးနှစ်ခုကိုနှိုင်းယှဉ်ပါကတူညီတဲ့အရှည်ဖြစ်ရလိမ့်မည်။ ဒီတော့ဘာကြောင့်ဒီစည်းမျဉ်းရှိနေသလဲ။ နောက်ကွယ်မှလုံခြုံရေးအကြောင်းပြချက်ကဘာလဲ။
Hash_equals () သည် အချိန်တိုက်ခိုက်မှုများကိုခုခံတွန်းလှန်ရန်ဒီဇိုင်းပြုလုပ်ထားသည် (Timing Attack) ။ အချိန်တိုက်ခိုက်မှုဆိုသည်မှာမတူညီသောသွင်းအားစုများထုတ်လုပ်သည့်အခါပရိုဂရမ်တစ်ခုမှအချိန်ပိုကွာခြားမှုကိုလေ့လာခြင်းအားဖြင့် input content ကိုသတ်မှတ်ခြင်းဖြင့်တိုက်ခိုက်သည့်တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ သီအိုရီအရကျွန်ုပ်တို့သည် hash တန်ဖိုးနှစ်ခုကိုနည်းနည်းနှင့်နှိုင်းယှဉ်လျှင်, သူတို့ကွဲပြားခြားနားသည့်အခါနှိုင်းယှဉ်ခွဲစိတ်ကုသမှုကိုစောစောစီးစီးရပ်တန့်ပြီးရလဒ်အမျိုးမျိုးကိုပြန်ဖွင့်လိမ့်မည်။ ဆိုလိုသည်မှာတွက်ချက်မှုလုပ်ငန်းစဉ်တွင် Hash တန်ဖိုးများသည်ပိုမိုကြာရှည်စွာတွက်ချက်မှုဖြစ်စဉ်ကိုပိုမိုအချိန်ယူရလိမ့်မည်။ တိုက်ခိုက်သူသည်အချိန်ကိုဆန်းစစ်ခြင်းနှင့်နှိုင်းယှဉ်ခြင်းအားဖြင့် hash တန်ဖိုးကိုတဖြည်းဖြည်းချင်းတိုးပွားစေနိုင်သည်။
ဤတိုက်ခိုက်မှုကိုတားဆီးရန် Hash_equals () သည် အချိန်အတိုင်းအတာနှစ်ခု၏ပထမ ဦး ဆုံးဇာတ်ကောင်သည်ကွဲပြားခြားနားနေသည့်တိုင်, ထို့ကြောင့်နှိုင်းယှဉ်မှုတစ်ခုလုံး၏ကွပ်မျက်မှုဖြစ်စဉ်တစ်ခုလုံး၏ကွပ်မျက်မှုဖြစ်စဉ်သည် hash တန်ဖိုးသည်အတူတူပင်မည်သို့ပင်ဖြစ်စေပုံဖော်သည်။ ဤစဉ်ဆက်မပြတ်အချိန်နှိုင်းယှဉ်ခြင်းဟာ hash တန်ဖိုးနှစ်ခုအတူတူပင်လျှင်သာယုံကြည်စိတ်ချရသောဖြစ်သည်။ hashes နှစ်ခု၏အရှည်သည်ကွဲပြားခြားနားပါကနှိုင်းယှဉ်ခြင်းဖြစ်စဉ်ကိုစောစောအဆုံးသတ်လိမ့်မည်။ ၎င်းသည်တိုက်ခိုက်သူအတွက်အချိန်ကွာခြားချက်ကိုထုတ်ယူနိုင်ပြီးအထိခိုက်မခံသောသတင်းအချက်အလက်များကိုဖော်ထုတ်နိုင်သည့်စောစောစီးစီးအဆုံးသတ်သွားမည်ဖြစ်သည်။
Hashing algorithm ၏ရည်ရွယ်ချက်မှာမည်သည့်အရှည်ကိုမဆိုသတ်မှတ်ထားသောကြိုးကြိုးများထဲသို့ထည့်ရန်ဖြစ်သည်။ နှိုင်းယှဉ်နေစဉ်အတွင်း hash တန်ဖိုးများ၏အရှည်သည်ကိုက်ညီမှုမရှိပါက၎င်းတို့သည်မတူညီသော input data များမှလာကြသော်လည်း Hash algorithm ၏ကိုက်ညီမှုမရှိပါ။ hash တန်ဖိုးကိုတူညီသောအရှည်ဖြစ်ရန်လိုအပ်ခြင်းအားဖြင့် hash_equals () သည် miscomparison ကိုရှောင်ရှားရန်တူညီသောအချက်အလက်များကိုတူညီသောအချက်အလက်အမျိုးအစားကိုသေချာစေနိုင်သည်။
ဥပမာအားဖြင့်လျှောက်လွှာသည်အသုံးပြုသူစကားဝှက်အတွက် hash တန်ဖိုးကိုသိုလှောင်ထားကြောင်းဆိုပါစို့။ စကားဝှက်ကိုအတည်ပြုသည့်အခါ 0 င်ရောက်လာသည့် hash အရှည်သည်သိုလှောင်ထားသော hash အရှည်နှင့်မကိုက်ညီပါက hash တန်ဖိုးနှစ်ခုသည်ကွဲပြားခြားနားသောအရင်းအမြစ်များမှဖြစ်သည်ဟုယူဆရန်လုံခြုံသည်။ Hash Value ၏အရှည်ကိုစစ်ဆေးခြင်းအားဖြင့် Hash_equals () သည် အတည်ပြုခြင်းလုပ်ငန်းစဉ်အတွင်းမလိုအပ်သောအမှားများကိုရှောင်ရှားနိုင်သည်။
Hash Collision သည်မတူညီသော input ကိုတန်ဖိုးနှစ်ခုကအတူတူပင် hash တန်ဖိုးကိုထုတ်လုပ်သည့်အခါဖြစ်သည်။ ခေတ်မီဆေးထည့်ခြင်း algorithms (sha-256 ကဲ့သို့သော SHA-256) ကိုတိုက်မိခြင်းဖြစ်နိုင်ခြေကိုလျှော့ချရန်ဒီဇိုင်းပြုလုပ်ထားသော်လည်း၎င်းတို့ကိုလုံးဝရှောင်ရှားနိုင်မည်မဟုတ်ပါ။ Security အားနည်းချက်များကိုလျှော့ချရန် Hash_equals () သည် Hash တန်ဖိုး၏အရှည်သည်နှိုင်းယှဉ်ခြင်းလုပ်ငန်းစဉ်အတွင်းအလားတူအရှည်တန်ဖိုးများကိုမှားယွင်းစွာအလွဲသုံးစားပြုခြင်းမှဖြစ်ပေါ်လာသောလုံခြုံရေးအန္တရာယ်များကိုတားဆီးရန်ဖြစ်သည်။
အကယ်. hash တန်ဖိုးနှစ်ခုသည်အလားတူအရှည်မဟုတ်လျှင်တိုက်ခိုက်သူသည် input value ကိုတည်ဆောက်နိုင်ပြီး Hash algorithm ၏တိုက်မိမှုအားနည်းချက်ကိုအသုံးပြုရန်ကြိုးစားနိုင်သည်။ ထို့ကြောင့် hash_equals () သည် hash အရှည်အတူတူပင်မှသာ hash တန်ဖိုးများ၏လုံခြုံရေးကိုထိရောက်စွာအာမခံနိုင်သည်။
developer များအတွက်, လုံခြုံသော string နှိုင်းယှဉ် function ကိုကိုယ်တိုင်အသုံးပြုသောအခါလုံခြုံရေးအလံများ, အချိန်တိုက်ခိုက်မှုများစသဖြင့်လုံခြုံရေးထိခိုက်မှုများစွာကိုစဉ်းစားရန်လိုအပ်သည် ။ developer များကလုံခြုံနှိုင်းယှဉ်မှုမှန်ကန်စွာအကောင်အထည်ဖော်ခြင်းရှိမရှိကိုစိတ်မ 0 င်စားဘဲ Hash value ကိုယ်တိုင်ကသာအာရုံစိုက်ရန်လိုအပ်သည်။ developer များသည် Code ၏လုံခြုံရေးနှင့်ထိန်းသိမ်းခြင်းကိုတိုးတက်စေရန်အတွက်ဆုံးဖြတ်ချက်ချခြင်းနှင့်အကာအကွယ်ကိုပိုမိုလျှော့ချရန်လိုအပ်ခြင်းသည်တသမတ်တည်းဖြစ်သည်။
Hash_equals () နှိုင်းယှဉ်မှု၏ hash အရှည်အတူတူဖြစ်ရန်လိုအပ်သည်။ ဤနည်းဥပဒေသည်အဓိကအားဖြင့်အချိန်တိုက်ခိုက်မှုများကိုတားဆီးခြင်း, hash collisions များကိုကာကွယ်ခြင်း, Developer များသည်ဘုံလုံခြုံရေးတိုက်ခိုက်မှုများမှကာကွယ်ရန် PHP သည်စွမ်းဆောင်ရည်ကိုထိရောက်စွာလုံခြုံသော Hash နှိုင်းယှဉ်ချက်နည်းလမ်းကိုထောက်ပံ့ပေးသည်။
