このマニュアルページには次のように書かれています:
注意: PHP 5.4.0 以降、session.entropy_file のデフォルトは
/dev/urandom
or/dev/arandom
が利用可能な場合です。PHP 5.3.0 では、このディレクティブはデフォルトで空のままです。
では、何/dev/arandom
とどのように違うの/dev/[u]random
でしょうか?
ここから。arandom
要求された量のデータを返す前に、十分なエントロピーが存在することを保証するように見えます。また、OpenBSD の実装に限定されているようです。 urandom
十分なエントロピーがあるかどうかに関係なく、要求されたデータの量を返します。十分でない場合、明らかに脆弱性が発生する可能性があります。
このページは、デバイスが何であるかを説明する合理的な仕事をします:
必要に応じて、エントロピープールデータはARC4ジェネレーターを再シードし、ARC4ジェネレーターは高品質の疑似ランダム出力データを生成します。
基礎となる手法の詳細については、ウィキペディアを参照してください。