Discussion :

[nestea57]

Bonjour,
Je sais pas si vous le savez déjà mais je vous informe que 1and1 enregistre toutes les données personnels en clair même le mot de passe !
Par soucis de sécurité, prenez un mot de passe différent à chaque site internet. ( beaucoup ne le font pas )
Voilà merci

De plus, même en ayant plus aucun abonnement chez eux, ils refusent de supprimer mes informations bancaires !
J'ai dû envoyer une LRAR pour qu'ils le fassent...

[afrodizaks]

Enregistré en clair signifie qu'en demandant un rappel de mot de passe sur l'admin, on recoit l'ancien en clair par email , faites gaffe à vos boites email.

Une fois connecté à l'admin, la session n'expire pas ( tant que la fenêtre reste ouverte ),

Petit cas pratique :

pc 01 : connecté à l'admin 1&1, ancien mot de passe et ancienne adresse email. Session active.

et au même moment :

pc 02 : connecté à l'admin, avec mon ancien mot de passe, et l'ancienne adresse email. je modifie l'email et le mot de passe liés au compte.

2h apres, le pc 01 reste connecté à l'admin 1&1, et parviens toujours à modifier les données clients, ainsi que le mot de passe.

Une faille existe ?

De plus, il suffit d'être connecté pour modifier le mot de passe, on ne demande pas l'ancien avant d'autoriser la modification.


C'est clair que tout chacun est responsable des ses mots de passe, mais, il ne faut pas abuser, d'autan plus que le transfert par émail des données sensibles n'est pas sécurisé.

[digitaldna]

Dans un système bien foutu on teste les sessions ! Enfin ... ils ne sont pas les seuls !