Problème de sécurité grave

[Exos]

Bonjour,

Un invité nous a posté ce message, récemment :

Bonsoir, bonjour *-*

Je viens poster ici car je crois qu'il y a eut une sorte de gros bug et.. c'était trèès étrange, bref, je vous explique:
Je me baladais tranquillement sur votre forum et au bout d'un moment je me suis aperçue que j'étais connectée (alors que je ne suis pas inscrite) sous "The Big Bang" qui est tout de même un compte <a class=\"ces1\">Admi&#110</a>. J'avais accès au panneau d'administration et à tout le forum, j'avais tout les droits, alors que je ne suis qu'une invitée de passage.. oO" (a savoir que je n'ai rien touché, j'me suis déconnectée rapidos parce que je trouvais ça flippant xD)
Je préférais vous mettre au courant qu'il est possible que cela se reproduise pour d'autres internautes invités et je trouve cela plutôt dangereux pour votre forum, car n'importe qui pourrait se retrouver administrateur o_O"

Bref, voilà ** Je n'ai aucune idée de comment vous pouvez régler ce bug, mais bon x)
Bon courage et bonne continuation en tout cas <3

Cet utilisateur est en fait le compte fondateur de notre forum. Le plus étrange, c'est que le mot de passe sur ce compte est vraiment impossible à deviner. Il s'agit d'une suite de caractère spéciaux, chiffres et lettres (majuscules et minuscules) sans signification précise...

Bref, je m'inquiète beaucoup pour la sécurité de mon forum !

[Anzu]

Bonsoir,

Demandez au membre concerné si il/elle n'aurait pas cliqué sur un lien disponible sur votre forum.

Vérifiez tous vos liens et qu'il n'y ait pas un lien avec la mention "sid=...."
Si c'est le cas, retirez cette partie.

Cordialement.

EDIT Tech : Pouvons-nous avoir l'adresse de votre forum ?

[Scoubifitz]

bonsoir,

https://forum.forumactif.com/t12987-securite-ce-qu-il-ne-faut-jamais-faire

je suis sûr que vous me direz : "je l'ai déjà lu !"

pourtant il faudra le relire ! ... vos identifiants de session (sid= xxxxxxx) se trouvent
dans les liens de votre tableau d'accueil ...

bonne traque pour tous les retrouver ...

édit : trop tard ...

[Exos]

C'est quelque chose que je ne savais absolument pas. Et non, je n'avais jamais lu cette page. D'ailleurs, je pense qu'on devrait avoir un lien vers celle-ci dès la création du forum, parce que je ne crois pas être la seule dans ma situation.

(Et donc merci 1000 fois !)

Je trouve quand même ça peu sécuritaire et, s'il y a une façon de procéder pour que ce « code » ne se retrouve pas dans les adresses, ce serait bien. J'ai eu plusieurs forums et jamais un truc du genre ne m'était arrivé, mais je me rend compte que ça aurait pu des tas de fois.