Discussion :

[Le Barde]

Bonjour,

J'utilise actuellement un framework de conception web, et je viens de voir un fichier qui génère un jeton (hash) pour chaque session.

Une question : étant donné que MD5 a été résolu (i.e. son piratage est facile), ceci n'est-il pas un gros problème ? Dois-je changer la méthode ?

Merci pour vos réponses.

[Neckara]

Bonjour,

Actuellement, on arrive en effet à provoquer des collisions, mais il reste encore un peu difficile de falsifier des documents en gardant la même empreinte MD5.
Après, il faudrait nous en dire plus sur l'utilisation de ton jeton MD5 et à partir que quoi il est calculé.

Aujourd'hui, on recommande d'utiliser le SHA-2 (ou le SHA-3).

[gangsoleil]

Bonjour,

MD5 n'est pas cassé, mais on peut effectivement trouver "facilement" des collisions, et c'est pour ça qu'on recommande d'utiliser autre chose.

Dans ton cas, savoir si c'est suffisant ou non est impossible sans plus d'informations, notamment sur ce sur quoi est calculé le MD5 :
Dans le cadre des téléchargements de logiciels, on utilise toujours le MD5, et le risque de problèmes est très faible, pour la raison suivante : je fais une archive, et je mets sur la page de téléchargement le MD5. Mettons maintenant qu'une autre personne s'amuse à introduire un virus dans mon archive : il peut trouver une collision de MD5, mais être capable de faire une archive de taille équivalente avec le même MD5 que le miens est mision quasi impossible.

[Le Barde]

Excellent, merci pour la réponse ! Pour l'instant je reste donc comme ça... Il s'agit du framework Sailsjs.