Quartznet: Unzureichende Entropie in System.Random

Erstellt am 23. Nov. 2017  ·  4Kommentare  ·  Quelle: quartznet/quartznet

Quartz.Net wird für die Verwendung von System.Random anstelle eines sicheren Zufallszahlengenerators gekennzeichnet.
System.Random kann durch System.Security.Cryptography.RNGCryptoServiceProvider ersetzt werden

http://cwe.mitre.org/data/definitions/331.html

Version: 6.2.1

Version: 6.2.1

Erwartetes Verhalten

Keine Sicherheitsprobleme.

Tatsächliches Verhalten

Sicherheitsprobleme gemeldet.

Schritte zum Reproduzieren

Führen Sie einen Sicherheitsscanner aus, der System.Random nicht mag.

picture dbraaten42

Hilfreichster Kommentar

Ich habe eine Pull-Anfrage erstellt, um dieses Problem zu beheben. https://github.com/quartznet/quartznet/pull/552

picture dbraaten42 am 24. Nov. 2017
👍42 🎉2 😄2

Alle 4 Kommentare

Ich habe eine Pull-Anfrage erstellt, um dieses Problem zu beheben. https://github.com/quartznet/quartznet/pull/552

dbraaten42 picture dbraaten42 am 24. Nov. 2017
👍42 🎉2 😄2

Danke, dass du das gemeldet hast. Darf ich fragen was das anzeigt? Wie Sie vielleicht wissen, verwendet Quartz.NET keine Zufallswerte für alles, was tatsächlich starke Entropiegarantien erfordern würde. Zufällige Werte werden nur für Trigger-IDs und Ruhezeiten verwendet.

lahma picture lahma am 2. Dez. 2017

Der Scanner kümmert sich darum, dass Quartz.Net System.Random vollkommen in Ordnung verwendet, er kennzeichnet nur die Verwendung einer verbotenen API. Wenn Sie nach "statischer Sicherheitsscanner" suchen, sollte dieser auf der ersten Ergebnisseite stehen.

Danke für das Antworten.

dbraaten42 picture dbraaten42 am 4. Dez. 2017

PR fusioniert, danke.

lahma picture lahma am 30. Dez. 2017
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

frapid picture frapid  ·  45Kommentare
lahma picture lahma  ·  19Kommentare
lucamazzanti picture lucamazzanti  ·  15Kommentare
ljani picture ljani  ·  9Kommentare
kevinchalet picture kevinchalet  ·  7Kommentare