если кто пользуется моим классом авторизации - обновлять :)

Misha v.3 09.07.2004 20:01

исправлены 2 security bug-a:

1. при смене пароля не удалялись сессии данного пользователя кроме текущей. могло привести к тому, что если кто-то подобрал/скомуниздил пароль, залогинился, вы узнали об этом, сменили пароль, но сессия хакера продолжает жить и ему не надо логиниться ещё раз.

2. после setPasswordFromTemporary не очищалось значение в new_passwd. могло привести к тому, что однажды полученая ссылка которая активировала новый пароль могла его активировать сколько угодно раз, даже после изменения пароля. в случае, если письмо было перехвачено, то вы активировав новый пароль и сменив его все равно могли быть хакнуты, т.к. ссылка на активацию продолжала функционировать.

такие дела...

---