Mas fazendo isso, em alguns minutos ou horas os invasores teriam adivinhado o usuário e senha corretos, com a "ajuda" da nossa aplicação, apenas usando o tempo levado para responder.

#### Corrija com o `secrets.compare_digest()` { #fix-it-with-secrets-compare-digest }

Mas em nosso código já estamos utilizando o `secrets.compare_digest()`.

	flag.Parse()

	localDisks, err := filterLocalDisks(node, args)
	if err != nil {
		log.Fatal(err)
	}

	if len(localDisks) == 0 {
		log.Fatal("Fix --local-node-name or/and --args to select local disks.")
	}

	format, err := getFormatJSON(localDisks[0].path)
	if err != nil {
		log.Fatal(err)
	}

	setSize := len(format.XL.Sets[0])

This guide will help you to...

* maximize the chance of your changes being accepted
* work on the Gradle code base
* get help if you encounter trouble

## Before you start

Before starting to work on a feature or a bug fix, please open an issue to discuss the use case or bug with us, or post a comment in the relevant issue. 
This can save everyone a lot of time and frustration.

For any non-trivial change, we need to be able to answer these questions:

- Fix a bug in cronjob controller where already created jobs may be missing from the status. ([#120649](https://github.com...

        assertFalse(options.all().isPresent(), "--all should not be present by default");
        assertFalse(options.infer().isPresent(), "--infer should not be present by default");
        assertFalse(options.model().isPresent(), "--fix-model should not be present by default");
        assertFalse(options.model().isPresent(), "--model should not be present by default");

        // But the goal should be present

/**
 * Unit test for {@link Throwables}.
 *
 * @author Kevin Bourrillion
 */
@GwtCompatible
@SuppressWarnings({
  "deprecation", // tests of numerous deprecated methods
  "nullness", // TODO(cpovirk): fix errors
})
@NullUnmarked
public class ThrowablesTest extends TestCase {
  // We're testing that the method is in fact equivalent to throwing the exception directly.
  @SuppressWarnings("ThrowIfUncheckedKnownUnchecked")

        assertFalse(pattern.matcher("application/rdf+xml").matches());
    }

    @Test
    public void test_escapedPlusDoesMatch() {
        // Demonstrate the fix when + is properly escaped
        String correctPattern = "(application/xhtml\\+xml|application/rdf\\+xml)";
        Pattern pattern = Pattern.compile(correctPattern);

   * inputs, regardless of how the elements are divided.
   */
  @SafeVarargs
  @CanIgnoreReturnValue
  @SuppressWarnings("nullness") // TODO(cpovirk): Remove after we fix whatever the bug is.
  public final CollectorTester<T, A, R> expectCollects(R expectedResult, T... inputs) {
    List<T> list = Arrays.asList(inputs);
    doExpectCollects(expectedResult, list);

    }

    @Override
    public String toString() {
        final StringBuilder sb = new StringBuilder();
        String n = name;

        // fix MSBROWSE name
        if (n == null) {
            n = "null";
        } else if (n.charAt(0) == 0x01) {
            final char c[] = n.toCharArray();
            c[0] = '.';
            c[1] = '.';

물론 공격자들은 이런 작업을 손으로 하지 않습니다. 보통 초당 수천~수백만 번 테스트할 수 있는 프로그램을 작성할 것이고, 한 번에 정답 글자 하나씩 추가로 얻어낼 수 있습니다.

그렇게 하면 몇 분 또는 몇 시간 만에, 응답에 걸린 시간만을 이용해(우리 애플리케이션의 “도움”을 받아) 올바른 사용자명과 비밀번호를 추측할 수 있게 됩니다.

#### `secrets.compare_digest()`로 해결하기 { #fix-it-with-secrets-compare-digest }

하지만 우리 코드는 실제로 `secrets.compare_digest()`를 사용하고 있습니다.

요약하면, `stanleyjobsox`와 `stanleyjobson`을 비교하는 데 걸리는 시간은 `johndoe`와 `stanleyjobson`을 비교하는 데 걸리는 시간과 같아집니다. 비밀번호도 마찬가지입니다.