Est-il prudent de partager md5 (cookie, some_string) avec un service tiers?

Question

J'ai besoin de mes utilisateurs pour s'authentifier auprès d'un service tiers avec le même cookie que celui utilisé avec mon site Web.

Est-il sûr de partager le md5 (biscuit, nom_service) avec le service, où nom_service est une chaîne constante que tous les utilisateurs utiliseront.

Pour s'authentifier par rapport au service, une fonction js fera le md5 du cookie côté client et l'utilisera.

Existe-t-il un hachage meilleur et plus sûr à utiliser ou est-ce que md5 est suffisamment sécurisé? Dois-je besoin de base64 décoder le cookie avant de faire le MD5?

Merci

Answer 1

Il y a peu de chance de renverser le hachage pour obtenir les données du cookie d'origine de sorte qu'il est sûr à cet égard. Vous pouvez utiliser le hachage SHA-1 à la place, mais les deux sont vulnérables aux attaques par collision, permettant peut-être à un attaquant non autorisé (qui n'a pas le cookie) d'accéder au service tiers. Je ne sais pas quelle serait la probabilité.

En ce qui concerne le décodage base64, vérifiez d'abord s'il est codé en base64.