読者です 読者をやめる 読者になる 読者になる

CouchDBにTiming Attack Vulnerabilityだそうで

[SECURITY] CVE-2008-2370: Apache CouchDB Timing Attack Vulnerability参照のこと
対象となるバージョンは0.8.0から0.10.1
アタックの詳細についてはA Lesson In Timing Attacks (or, Don’t use MessageDigest.isEquals) | codahale.com参照らしいです。(あ、これ、去年の9月にブックマークしてたw)
ちうか、確認のためにhash(digest)の値を、あるべき値と比較するとき、文字列(数値)の先頭から単純に比較するような処理だと、一致する長さによってrejectまでの時間が異なるので、攻撃者に余計な手がかりを与えてしまう、という、ありがちな話のようです。
でも、ネットワーク越しにそんな攻撃が成立するの?という向きにはこちらのCrosby等の論文をどうぞ、ってことらしい。