On 01/15/15 15:01, Stephane Martin wrote: > R19… Le terme d’entropie est sans doute mal employé. 128bits comme *taille* > du cookie de session ça semble cohérent.
128 bits d'entropie c'est peut-être beaucoup demander, mais avec du hardware moderne ce n'est pas un gros souci pour l'appli moyenne. 64 bits suffisent peut-être amplement à lutter contre une attaque en ligne (et c'est de mémoire la reco du NIST), mais le double n'est pas déconnant et pas si farfelu que ça. En revanche, recommander des cookies de taille 128 bits, c'est la porte ouverte aux md5 et autres hash de contenu tout à fait prédictible (md5(microtime() quand tu nous tiens). Dixit une connaissance récemment (si, si, true story) : « pour mes cookies, je hash le username et la date, mais en sha512, donc pas de souci ». -- Pierre Jaury @ kaiyou http://kaiyou.fr/contact.html --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
