Lors d’un de ces audits, un élément intéressant nous a été remonté : si un utilisateur se déconnecte, son cookie de session est toujours actif, c’est à dire qu’on peut le réutiliser pour être connecté en tant que cet utilisateur. Cela rendrait la plateforme vulnérable aux vols de sessions dans le cas où l’utilisateur se connecterait via un ordinateur infecté par un logiciel qui enregistrerait ses actions.
Commentaires
Vous devez
vous inscrire
ou
vous connecter
pour poster un commentaire