A cause de l'initialisation classique, il doit être évident pour tout le monde que ni rand() ni mt_rand() ne sont suffisamment aléatoire pour être utilisé dans un contexte cryptographique. Malheureusement, les programmeurs d'applications Web utilisent rand() ou mt_rand() pour créer des mots de passe, des clés d'activation ou des cookies d'auto-identification. Dans certaines situations, il semble que cette approche soit sécuritaire, car il faudrait deviner 32 caractères, mais aussi les valeurs précédentes. Une attaque est donc difficile à mettre en place.
Mais il y a des situations où l'attaque systématique est faisable, voire même inutile.
Une revue des mauvaises pratiques et utilisations des générateurs de nombres aléatoires.
- mt_srand and not so random numbers
Mais il y a des situations où l'attaque systématique est faisable, voire même inutile.
Une revue des mauvaises pratiques et utilisations des générateurs de nombres aléatoires.
- mt_srand and not so random numbers
-
Auteur
-
Origine
