Heads-up : recommendation HMAC plutôt que SHA256 sur cloak_ecto 1.3+

[thbar]

Je crée le ticket en premier lieu pour qu'on évite de remettre du SHA256 sur de nouveaux cas si ça arrive, et en second lieu pour les cas existants.

Vu en faisant la revue de code de :

• API : plug token_auth sans compter les requêtes #4516

On est actuellement sur cloak_ecto v1.2.0:

transport-site/mix.lock

Line 14 in 3c54eb0

"cloak_ecto": {:hex, :cloak_ecto, "1.2.0", "e86a3df3bf0dc8980f70406bcb0af2858bac247d55494d40bc58a152590bd402", [:mix], [{:cloak, "~> 1.1.1", [hex: :cloak, repo: "hexpm", optional: false]}, {:ecto, "~> 3.0", [hex: :ecto, repo: "hexpm", optional: false]}], "hexpm", "8bcc677185c813fe64b786618bd6689b1707b35cd95acaae0834557b15a0c62f"},

Toutefois la v1.2.0 date de 2021, et la dernière version v1.3.0 (2024) a revu la copie sur la gestion des hashs :

• https://diff.hex.pm/diff/cloak_ecto/1.2.0..1.3.0 diff complet
• danielberkompas/cloak_ecto@v1.2.0...v1.3.0

Je note en particulier:

• Remove insecure example from docs danielberkompas/cloak_ecto#29
• 📝 Recommend HMAC over SHA256 danielberkompas/cloak_ecto#36

On est concernés à 3 endroits différents:

transport-site/apps/transport/lib/db/notification.ex

Line 22 in 3c54eb0

field(:email_hash, Cloak.Ecto.SHA256)

transport-site/apps/transport/lib/db/contact.ex

Line 28 in 3c54eb0

field(:email_hash, Cloak.Ecto.SHA256)

transport-site/apps/transport/lib/db/token.ex

Line 17 in 3c54eb0

field(:secret_hash, Cloak.Ecto.SHA256)