Améliorer la sécurité
"Z" suggère sur contrib :
-
Il faudrait ajouter l’attribut httpOnly sur le cookie spip_cle_incarner, sinon avec une XSS : impact++
-
Il serait plus prudent de générer/fixer ce cookie lors du premier clique de la session sur un bouton « se connecter en tant que »