Al desarrollar una aplicación Ruby on Rails utilizando una biblioteca de autenticación comúnmente llamada dispositivo , noté por el prefijo $2a$
de los hashes de contraseña producidos en la base de datos de la aplicación que está usando una variante de bcrypt.
Leí sobre crypt y bcrypt en Wikipedia y noté que hay nuevas variantes de Se supone que bcrypt produce un prefijo de $2y$
porque una implementación que no es de OpenBSD por alguien llamado Solar Designer tuvo un "defecto de seguridad importante" en 2011 y, por lo tanto, no está claro si el $2a$
hashes fue producido por una implementación segura. / p>
Descubrí que el dispositivo está utilizando un enlace de C y Java llamado bcrypt-ruby que de hecho agrupa a Implementación en C copiada de John the Ripper , que se afirma que está escrito por un Diseñador Solar. Ahora me pregunto si esta implementación aún puede ser vulnerable a esta "falla de seguridad importante".
¿Alguien puede aclarar este tema?
Actualizar:
El historial de versiones del archivo en la cripta El repositorio del proyecto John the Ripper , del cual parece haberse originado el archivo, puede ayudar a responder mi pregunta.