Il y a quelques jours j'avais modifié le système de gestion des utilisateurs afin d'utiliser des cookies en lieu et place des variables de sessions. En discutant avec ForeverDreamer, nous sommes parvenus à la conclusion qu'il était surement possible d'usurper l'identité d'un utilisateur en bidouillant un peu le système.. Un peu vert (comme le fond du blog), je suis passé admin sur mon blog sans avoir à saisir de mot de passe ni même de login.. :(
Résultat, un système tout neuf, et qui ne devrait maintenant plus être vulnérable au vol de session ni à l'injection de cookies..
Voilà, la morale de l'histoire, méfiez vous des inconnus qui vous offrent des gateaux :p