nivcoo
commented
4 years ago Salut, on a pas changé de méthode de chiffrement seulement ajouté une autre méthode parmi les autres, donc si tu souhaites ajouter Argon2ID a la liste tu peux
Closed Hypario closed 4 years ago
nivcoo
commented
4 years ago Salut, on a pas changé de méthode de chiffrement seulement ajouté une autre méthode parmi les autres, donc si tu souhaites ajouter Argon2ID a la liste tu peux
Hypario
commented
4 years ago Ok pas de soucis, je verrais pour faire ça d'ici sûrement ce week-end si j'ai le temps ;)
MaximeMichaud
commented
4 years ago Bonjour, c'est toujours justifiable, mais je ne serai pas contre.
Sauf, argon ne pourra pas être là par défaut. Autrement, faudra être sûr que tout le monde aille une version PHP compilé l'ayant.
Soit PHP 7.2 de mémoire. Quoique cela dépend toujours de ta distribution. Et d'un autre côté, il faudrait rendre php 7.2 comme étant le minimum ? Je suis pour, mais debian 10 ne possède pas réellement les versions récentes. Il faut passer par les dépôts de sury. Donc, admettons que le CMS respecterait le calendrier de PHP, attendre Debian 11 Bullseye serait le mieux.
MaximeMichaud
commented
4 years ago Salut, on a pas changé de méthode de chiffrement seulement ajouté une autre méthode parmi les autres, donc si tu souhaites ajouter Argon2ID a la liste tu peux
Tu penses que c'est dans CakePHP 2.x ? 🤔🤔🤔
Hypario
commented
4 years ago C'est ce que je me demandais, vu comment fonctionne CakePHP sur le chiffrement (avec Security), je me posais la question, surtout si vous êtes sur CakePHP 2.x
Hello !
En lisant le code du CMS, je me suis rendu compte que vous êtiez passé à bcrypt pour chiffrer les mots de passe. Il faudrait passer sur du Argon2ID qui est un bien meilleur algorithme de chiffrement.
Si j'ai le temps, je pourrais regarder le code plus en profondeur et faire un pull request.