Les HMAC sont très utilisés pour authentifier des messages. Une application sont les tokens JWT. Une autre sont les cookies signés de Mojolicious, un framework web Perl, renommé pour sa simplicité et ses fonctions avancées https://thecurioustechnoid.com/websockets-using-mojolicious/. Bien évidemment, une attaque similaire à celle d'un fichier mot de passe haché peut être entreprise en particulier si le secret figure dans un dictionnaire, ou s'il est trop court (GPU, https://medium.com/securing/baking-mojolicious-cookies-revisited-a-case-study-of-solving-security-problems-through-security-by-13da7c225802). Mojolicious mettait par défaut un secret devinable, mais affichait une mise en garde. La plupart des développeurs ont mis des secrets, mais parfois devinables https://www.synacktiv.com/publications/baking-mojolicious-cookies -- la prochaine version de Mojolicious proposera un secret store automatiquement généré, avec possibilité de tourner les secrets, ce qui est une grande avancée. La morale: tenter de brute-forcer les secrets est une bonne approche de sécurité préventive. La bonne nouvelle: je n'ai pas vu de tentative d'exploiter ce bug sur les applications Mojolicious accessibles d'Internet que j'exploite, jusqu'ici. https://www.cve.org/CVERecord?id=CVE-2024-58134
1 entries so far.
full list