28-11-2015, 03:42 PM
Je viens d'y refaire un tour en nettoyant ma boite mail. Je suis tombé sur le mail d'activation du compte. Le truc qui m'a marqué, c'est que les 10 premiers chiffres de la clef d'activation sont en fait le timestamp de l'inscription. Donc, ces 10 chiffres sont prédictibles. Je n'ai pas analysé les 10 suivants, mais une chose est sûre: la clef générée pour confirmer une action dans un site/jeu doit être aléatoirement générée, que l'action soit l'envoie d'un formulaire aka un token CSRF ou le lien d'activation d'un compte à l'inscription.
Sinon, la clef devient prédictible et elle n'a plus aucun intérêt: si lors de mon inscription, je peux savoir quelle sera la clef utilisée pour confirmer cette inscription, alors la confirmation n'a plus d'intérêt car je pourrait confirmer n'importe quelle inscription sans avoir reçu le mail.
Sinon, la clef devient prédictible et elle n'a plus aucun intérêt: si lors de mon inscription, je peux savoir quelle sera la clef utilisée pour confirmer cette inscription, alors la confirmation n'a plus d'intérêt car je pourrait confirmer n'importe quelle inscription sans avoir reçu le mail.