<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#330033"><br>
    Clearly these ideas are more complex than adding randomization, but
    adding randomization doesn&#39;t seem to be produce immunity from
    attack, when data about the randomness is leaked.<br>
  </div>

</blockquote></div><br><div>Which will not normally happen.</div><div><br></div><div>I&#39;m firmly in the camp that believes the random seed can be probed and determined by creatively injecting values and measuring timing of things.  But doing that is difficult and time and bandwidth intensive so the per process random hash seed is good enough.</div>

<div><br></div><div>There&#39;s another elephant in the room here, if you want to avoid this attack use a 64-bit Python build as it uses 64-bit hash values that are significantly more difficult to force a collision on.</div>

<div><br></div><div>-gps</div>