Spring security 是Spring Security';s BCrypt实现易受攻击?
我们公司的安全审计发现,我们的bcrypt哈希的前缀是“$2a$”。根据[1]和[2],这可能表明使用了较旧、易受攻击的bcrypt实现 因此,我的问题是:Spring security 是Spring Security';s BCrypt实现易受攻击?,spring-security,bcrypt,jbcrypt,Spring Security,Bcrypt,Jbcrypt,我们公司的安全审计发现,我们的bcrypt哈希的前缀是“$2a$”。根据[1]和[2],这可能表明使用了较旧、易受攻击的bcrypt实现 因此,我的问题是: Spring Security的bcrypt实现是否包含该漏洞 Spring Security是否支持“$2x$”和“$2y$”前缀 参考文献: [1] [2] 您提供的链接是关于BCrypt的C实现中的漏洞的。Spring安全性实现是一个分支,它是用Java编写的另一个实现 从3.2.5版开始,Spring Security不支持“$2
[1]
[2]
jBCrypt有一个bug用于支持其他散列前缀:@koe我认为Google代码站点上没有任何开发,从我所看到的上一个提交2010。没错,当前没有SCM。我想这就是Spring分叉/复制它并将代码放在GitHub上的原因。