为什么Ruby #hash方法是随机的？

Question

我刚刚注意到#hash每次启动Ruby时更改的返回值:

$ irb
2.0.0-p353 :001 > "".hash
2313425349783613115
2.0.0-p353 :002 > exit

$ irb
2.0.0-p353 :001 > "".hash
4543564897974813688
2.0.0-p353 :002 > exit

我查看了MRI源,看看为什么会发生这种情况:

st_index_t
rb_str_hash(VALUE str)
{
    int e = ENCODING_GET(str);
    if (e && rb_enc_str_coderange(str) == ENC_CODERANGE_7BIT) {
    e = 0;
    }
    return rb_memhash((const void *)RSTRING_PTR(str), RSTRING_LEN(str)) ^ e;
}

事实证明rb_memhash,定义random.c如下:

st_index_t
rb_memhash(const void *ptr, long len)
{
    sip_uint64_t h = sip_hash24(sipseed.key, ptr, len);
#ifdef HAVE_UINT64_T
    return (st_index_t)h;
#else
    return (st_index_t)(h.u32[0] ^ h.u32[1]);
#endif
}

虽然我找不到什么ruby_sip_hash24,但我认为它不是一个确定性的功能.

经过一番混乱之后,我设法发现Tanaka Akira的这个提交由于"避免算法复杂性攻击"而改变rb_str_hash使用rb_memhash.那是什么意思？

谢谢!

Answer 1

正如提交消息所说,它是由于避免了算法复杂性攻击.

一个算法的复杂性攻击是利用已知的情况,即在一块的软件会表现出最坏情况下的行为使用的算法的计算机攻击的一种形式.这种类型的攻击可用于实现拒绝服务.

通过使用rb_memhash,每次启动新的ruby执行上下文时,哈希结果将被随机化.否则,如果没有随机化,攻击者就会知道算法并找出可能用作DoS攻击的最坏情况行为.