OVH Community, votre nouvel espace communautaire.

IMHO un joli trou de sécurité dans le manager V4.


padpad
13/01/2016, 11h55
Bonjour !

Quand dans un manager on veut changer soit l'email de contact, soit le compte OVH auquel appartient un domaine, un hébergerment etc .. OVH génère et envoie par mail un hash code qui est exigé pour poursuivre l'opération.

C'est ch.. mais ça peut paraitre utile pour éviter des mutations sauvages.

Sauf que ca pose deux problèmes.

Le premier c'est que c'est très chiant si le code se paume en route ( spam), s'il arrive dans une boite poubelle, si le récipiendaire bien que d'accord pour le transfert a paumé le code, car ... on ne peut plus annuler le transfert .. sans un code ..

je sais, ça vient de m'arriver ..

le second, plus grave c'est que c'est totalement in,opérant comme sécurité. EN effet, OVH conserve et met à disposition sur un "pseudo webmail interne au manager", la liste .. des mails envoyés .. il suffit donc, même si on n'a aucun accès au mail de contrôle, d'aller récupérer là le hashcode et de l'utiliser pour valider ..

inutile de préciser que c'est en cherchant à contourner le bug que j'ai trouvé le trou de sécurité.

To whom it may concern ..