Messages non conformes lors de l'authentification
Il y a deux problèmes :
-
Lorsque le mot de passe n'est pas le bon on a : La solution de l'alerte n'est pas très bonne il vaudrait mieux un message sur la page. Le message "Erreur critique" est faux et très négatif. Privilégier : "Connexion impossible, l'authentification a échoué."
-
Lorsque le compte n'existe pas on a : Votre login n'existe pas. C'est vraiment a éviter car ça permet aux attaquants de savoir si un compte existe et donc de s'acharner dessus. Il faut utiliser exactement le même message que précédement.