Et moi mon petit doigt m'a dit qu'il ne serait pas question d'anti rejeu mais uniquement de logging du challenge pour éventuellement détecter les usages anormaux. Et si anti rejeu il y a, ce ne sera pas basé sur la RFC mais du propriétaire orange.
Comme déjà dit, il y a plusieurs scénarios possibles ; celui que tu mentionnes me paraitrait assez inefficace de la part d'Orange parce que :
- de leur côté, ils devraient se faire ch*** à stocker/logger les challenges, avec toutes les contraintes qui vont avec ce genre de choses (surtout avec du stockage persistent en tête)
- de notre côté, à partir du moment où on doit calculer dynamiquement le contenu de l'option 90, que ce doit pour injecter le timestamp de la RFC 3118 ou pour générer aléatoirement un nouveau salt (à mon sens, on ne peut parler de challenge que s'il est fourni par le côté serveur) et hasher le mot de passe avec, ça ne change rien.
Bref, de mon côté, je vais prendre mes dispositions pour être en mesure de générer cette option 90 dynamiquement ; je ne sais pas si ça servira un jour, mais ça me fera une geekerie amusante en attendant