Projets Suggestions de fonctions Système

Faille de spam potentielle

dans le module de recouvrement de password

Ben voilà, c'est simple :

  • Le formulaire de recouvrement de mot de passe automatique demande simplement le surnom du compte membre
  • La liste publique des membres de yacs est capable de montrer le surnom de chacun

Conclusion : un mal-intentionné peut très bien s'amuser à envoyer des demandes de recouvrement intempestives à un ou plusieurs comptes, ou tous en même temps. Ce qui peut s'avérer déroutant pour les membres, au mieux, rédhibitoire pour l'avenir du site, au pire.

Donc je crois qu'il vaudrait mieux demander l'adresse e-mail associée au compte membre, puisque c'est une donnée qui demeure confidentielle pour les anonymes.