タイミングベースアタックon Web

なんか、SSHへのブルードフォースアタックの例が@pliceに乗っているのを見て

ふと思ったんだけど。。。。。

昔SSHで応答タイミングの差をつかってID検索だかパスワードアタックだかするってのが

あったなぁ。。。あれってWebでもできるんじゃないかと思いつつ。

普通バックエンドにDBがあって、IDが主キーでパスワードとandとってselectするわけだよなぁ。

応答時間差って使えるのかなぁ？でも主キーがIDに設定されてると結構きびしいかぁ？

暇みて実験してみよっと。