Несколько важных улучшений в системе безопасности, связанных с последними новостями в технических блогах
Вы, вероятно, слышали недавно новости об утечках баз данных LinkedIn, Yahoo и других крупных сайтов. Так что вас могло взволновать, что будет, если каким-то образом база данных вашего сайта будет украдена. Хорошие новости: пароли не хранятся в открытом виде, а хешированы MD5. Плохие новости: MD5 довольно легко взломать перебором.
Поэтому мы сделали несколько важных улучшений в методе хранения паролей в Cotonti, и он теперь использует SHA256 со случайной солью по умолчанию, предоставляет несколько опций хеширования и возможность для разработчиков плагинов реализовать собственные методы хеширования. Обновление рекомендовано как для Siena, так и для Genoa. После обновления существующие пароли по-прежнему хранятся в MD5, но как только пользователь изменит свой пароль, будут применены новые функции хеширования.
Обновление Genoa 0.6.24 включает еще одно исправление безопасности, поэтому если вы допускаете ненадежных лиц к админке вашего сайта, то крайне рекомендуется провести обновление.
Обновление Siena 0.9.11 включает множество исправлений ошибок и улучшений, включая поддержку автоматического перехода на летнее/зимнее время. За подробностями обратитесь к примечаниям к релизу.
