Python 3.3 해시 값이 세션마다 다른 이유는 무엇입니까?

Python 3.3의 해시 함수: 세션 간에 서로 다른 결과가 반환되는 이유

Python 3.3에서 내부 hash() 함수가 예기치 않게 작동합니다. 다른 세션에서 동일한 문자열에 대해 다른 해시 값을 반환합니다. 이 현상은 Python이 보안 조치로 임의 해시 시드를 사용하기 때문에 발생합니다.

임의 해시 시드는 공격자가 타르피팅 공격을 일으킬 수 있는 예측 가능한 키를 악용하는 것을 방지하기 위해 사용됩니다. 해시에 무작위 오프셋을 추가함으로써 공격자는 어떤 키가 충돌할지 예측할 수 없습니다.

해시 함수의 동작을 제어하기 위해 PYTHONHASHSEED 환경 변수를 설정할 수 있습니다. 무작위성을 방지하기 위해 고정된 양수 시드를 지정할 수 있으며, 이를 0으로 설정하면 시드 오프셋이 완전히 비활성화됩니다.

Python 3.3 이전에는 무작위 해시 시드가 비활성화되었습니다. 그러나 기본적으로 활성화되었습니다. 이 변경 사항은 Python 버전 3.5 이하의 집합뿐만 아니라 사전에도 영향을 미칩니다.

또한 object.__hash__()에는 특별한 동작이 있습니다.

• str, bytes 및 datetime의 경우 객체의 경우 해시 값은 예측할 수 없는 값으로 "솔트"되어 프로세스 내에서는 일관되지만 세션 전체에서는 예측할 수 없게 됩니다.
• 이 조치는 최악의 사전 삽입을 악용하는 서비스 거부 공격을 방지합니다.

해시 값은 dict 및 set과 같은 매핑의 반복 순서에 영향을 미친다는 점에 유의하는 것이 중요합니다. 그러나 이러한 순서는 Python에서 보장되지 않으며 빌드와 버전에 따라 다를 수 있습니다.

일관적인 해싱을 위해서는 암호화 해시 기능을 제공하는 hashlib 모듈을 사용하는 것이 좋습니다. 또한 pybloom은 안정성을 위해 이 접근 방식을 활용합니다.

임의의 해시 시드 오프셋으로 인해 공격자가 오프셋을 결정하기 어렵지만 오프셋 자체가 저장되는 것도 방지됩니다. 그러나 이렇게 하면 공격자가 시드를 결정하기 위해 타이밍 공격을 사용할 수 없습니다.

위 내용은 Python 3.3 해시 값이 세션마다 다른 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!