替代者暂时没有做到更好，LibreSSL的伪随机生成器不安全

Aveeuno

2014-07-15

OpenSSL分支LibreSSL portable刚刚发布了第一个版本2.0.0（已更新到2.0.1），虽然版本号是2.0.0，但它只是一个预览版，不应该用于生产环境。

测试已经发现，LibreSSL的伪随机生成器（PRNG）存在安全漏洞，安全性不如它fork的OpenSSL PRNG：OpenSSL PRNG的两次不同调用返回不同的结果，而LibreSSL PRNG的两次不同调用返回的却是相同结果，它检测fork()函数创建父进程克隆的机制存在安全漏洞。

替代者暂时没有做到更好，LibreSSL的伪随机生成器不安全

伪随机信息安全

Aveeuno

0 关注 0 粉丝 0 动态

相关推荐

Android 测试入门之---Monkey test

它向系统发送伪随机的用户事件流，实现对正在开发的应用程序进行压力测试。· 基本配置选项，如设置尝试的事件数量。同时，Monkey还对测试中的系统进行监测，对下列三种情况进行特殊处理：。· 如果限定了Monkey运行在一个或几个特定的包上，那么它会监测试图

不羈 2010-11-08

Android中使用Monkey进行UI或应用程序测试

刚刚看了一下Android的API,发现了这个东西，感觉挺好。为了记住它，写个博客，以便以后可以方便使用。Monkey是运行于模拟器或手机上的一个程序，通过生成伪随机的大量的系统级的用户事件流来模拟操作，包括单击、触摸、手势等。从而为正在开发中的应用程序通

mingmingini 2012-01-04

恶意js脚本注入访问伪随机域名的实例解析

我们的服务器又出入侵事故了。有客户的html 网页底部被插入了一段js 脚本，导致访客打开网页时被杀毒软件警告网站上有恶意代码。在黑链SEO 中这是常见的手法，但奇特的地方就在于我们这次捕获到的代码，会根据当前的时间戳生成一个（伪）随机域名，然后定时

zhuzhu侠 2012-07-09

monkey初识

UI/Application Exerciser MonkeyMonkey是一段运行在模拟器或者实际设备中的程序，它可以生成伪随机的用户事件流，诸如：点击、触摸、手势等，也可以产生系统级事件。你能够以一种随机但是可重复的方式，使用monkey对你所开发的应

wangzhaotongalex 2013-05-20

手把手教你CSRF防护

CSRF，中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本，但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而

gstc0 2018-10-31

Ceph源码解析：CRUSH算法

这些系统必须平衡的分布数据和负载，最大化系统的性能，并要处理系统的扩展和硬件失效。ceph设计了CRUSH，用在分布式对象存储系统上，可以有效映射数据对象到存储设备上。因为大型系统的结构式动态变化的，CRUSH能够处理存储设备的添加和移除，并最小化由于存储

qwerdf00 2017-03-17

在Python上基于Markov链生成伪随机文本的教程

马尔可夫链是随机变量{X_t}的集合，给定当前的状态，未来与过去条件独立。...马尔可夫链是具有马尔可夫性质的随机过程...[这意味着]状态改变是概率性的，未来的状态仅仅依赖当前的状态。马尔可夫链具有多种用途，现在让我看一下如何用它生产看起来像模像样的胡言

pythoncream 2019-04-19

Aveeuno

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号