Su questa pagina sul sito web OWASP, c'è una frase sull'entità di id di sessione che trovo abbastanza strano:
The session ID value must provide at least 64 bits of entropy (if a good PRNG is used, this value is estimated to be half the length of the session ID).
Quello che capisco è che se il tuo ID di sessione è composto da 128 bit casuali (dati da un buon PNRG), ciò che ottieni è solo 64 bit di entropia .
Ho pensato che se ottieni 128 bit casuali da un buon PNRG, potresti aspettarti di ottenere qualcosa di molto vicino a 128 bit di entropia. Ho capito qualcosa di sbagliato?