J'ai créé il y a quelques temps un album photo en ligne chez Pixmania pour pouvoir imprimer des photos, et j'en ai profité pour donner l'accès à quelques personnes concernées pour qu'elles puissent voir les photos et commander des tirages le cas échéant. Jusque là, tout va bien.
Aujourd'hui, je reçoit un mail avec l'intitulé "Untel a bien reçu votre invitation de parrainage sur Pixmania", car ils considèrent qu'un compte créé après une invitation de ce type correspond à du parrainage.
OK, très bien.
La suite du message, c'est une copie conforme de celui reçu par la personne, avec à la fin les lignes suivantes :
Vos coordonnées :Le mot de passe de cette personne est écrit en clair dans mon mail. On a déjà vu mieux...
Identifiant : untel@untel.com
Mot de passe : XXXXX
N° client : 123456
Déjà en temps normal, j'apprécie assez peu qu'on m'envoie un mail avec mon mot de passe. Mais là, c'est du n'importe quoi !
Une des premières règles de sécurité quand on programme une application web, c'est de stocker le mot de passe crypté de façon irréversible (l'algorithme md5 fait très bien l'affaire) dans la base de données. Comme ça, il n'y a aucun risque de fuite. Et si la personne oublie son mot de passe, on en génère un nouveau de façon aléatoire, et elle n'a qu'à le modifier après s'être reconnectée.
Je croyais que ce genre de trucs faisaient partie des connaissances de bases pour un développeur.
Je vais informer Pixmania, je vous tiendrai au courant...
Edit : pour connaître la suite de l'histoire, c'est ici...
1 commentaire:
Malheureusement, ce genre de problème n'arrive pas qu'avec Pixmania. Il est déplorable que ces grands sites ne fassent pas plus d'effort en matière de sécurité. Il cherche à faire du volume en faisant simple sans se soucier des problèmes d'image que cela peut impliquer ! Donc tout a fait d'accord avec vous!
Enregistrer un commentaire