Sécurité sur le changement du mot de passe
dans spip 2.1 (et SPIP3), le formulaire de demande de changement du mot de passe ne demande pas l'ancien. Ce n'est pas gênant quand on modifie le compte d'un autre utilisateur mais ça le devient lorsqu'on modifie son propre compte (email ou mot de passe). En effet il suffit que quelqu'un passe derrière la session connectée d'un admin, change le mail et le mot de passe pour que la seule méthode pour que l'admin puisse accéder de nouveau au site est de le réinstaller.
Suggestion : changement de ses données => demande de l'ancien mot de passe.