petite faille de s?curit?

martinus1 · Février 8, 2007, 11:05

Bonjour,

Sur un site spip (1.9.1) à inscription manuelle, un administrateur peut
créer des auteurs sans adresse de courriel, temporairement ou même
définitivement car certaines personnes le souhaitent.

Si un tiers s'identifie avec le login d'un de ces auteurs, qui peut être
facile à deviner, et qu'il prétend avoir oublié son mot de passe, une
fenêtre lui demande l'adresse de courriel sous laquelle il s'était
enregistré précedement. Il reçevra alors à l'adresse qu'il a donné le
message lui permettant de changer son mot de passe et donc de s'approprier
le compte !

Ce n'est pas un peu ennuyeux, ou c'est moi qui suis parano ?

Il me semble qu'il faut bloquer la procédure d'oubli de mot de passe, si
l'auteur n'a pas d'adresse de courriel.

A+

Martin

Olivier_GENDRIN · Février 8, 2007, 11:49

Transmi à spip-dev.

-----Message d'origine-----
De : spip-bounces@rezo.net [mailto:spip-bounces@rezo.net] De
la part de Martinus
Envoyé : jeudi 8 février 2007 12:06
À : spip@rezo.net
Objet : [Spip] petite faille de s?curit?

Bonjour,

Sur un site spip (1.9.1) à inscription manuelle, un
administrateur peut créer des auteurs sans adresse de
courriel, temporairement ou même définitivement car certaines
personnes le souhaitent.

Si un tiers s'identifie avec le login d'un de ces auteurs,
qui peut être facile à deviner, et qu'il prétend avoir oublié
son mot de passe, une fenêtre lui demande l'adresse de
courriel sous laquelle il s'était enregistré précedement. Il
reçevra alors à l'adresse qu'il a donné le message lui
permettant de changer son mot de passe et donc de
s'approprier le compte !

Ce n'est pas un peu ennuyeux, ou c'est moi qui suis parano ?

Il me semble qu'il faut bloquer la procédure d'oubli de mot
de passe, si l'auteur n'a pas d'adresse de courriel.

A+

Martin