Tokens: Zabráníme časovacím útokům (jakkoliv nepravděpodobným)

Closes #219.

Tokens: Zabráníme časovacím útokům (jakkoliv nepravděpodobným)
22a8896f · Martin Mareš · bcbde03c · 22a8896f
Commit 22a8896f authored 2 years ago by Martin Mareš
--- a/mo/tokens.py
+++ b/mo/tokens.py
@@ -23,7 +23,7 @@ def verify_token(token: str, use: str) -> Optional[List[str]]:
    if len(enc_fields) < 2:
        return None
    sign = enc_fields.pop()
-    if _sign_token(':'.join(enc_fields), use) != sign:
+    if not hmac.compare_digest(_sign_token(':'.join(enc_fields), use), sign):
        return None
    return [urllib.parse.unquote(f) for f in enc_fields]