[Из песочницы] 50 оттенков безопасности Друпала
Для хеширования паролей используется модифицированная версия phpass, от которой на официальном сайте открестились. Но менять механизм не спешат [#1845004].
Не желают даже предоставить возможность выбора механизма хеширования [#2939888].
Число итераций для стойкости хеширования не обновлялось больше 7 лет [#1850638], хотя предполагалось увеличение итераций не реже чем в 2 года [#1203852].
При использовании PostgreSQL хеши паролей сравниваются без учёта регистра [#2475539].
Также с PostgreSQL есть проблемы с поддержкой SSL [#850600].
Минимально допустимая версия PostgreSQL 9.2, которая уже давно без поддержки безопасности [#2846994].
Читать дальше →
Не желают даже предоставить возможность выбора механизма хеширования [#2939888].
Число итераций для стойкости хеширования не обновлялось больше 7 лет [#1850638], хотя предполагалось увеличение итераций не реже чем в 2 года [#1203852].
При использовании PostgreSQL хеши паролей сравниваются без учёта регистра [#2475539].
Также с PostgreSQL есть проблемы с поддержкой SSL [#850600].
Минимально допустимая версия PostgreSQL 9.2, которая уже давно без поддержки безопасности [#2846994].
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах
- Централизация биткойн-майнинга в 2025 году: концентрация хешрейта усиливается
- Новости кибербезопасности за неделю с 19 по 25 мая 2025
- [Перевод] Преступный ИИ уже существует, и он доступен любому
- [Перевод] Postman логирует все ваши секреты и переменные окружения
- Math Agency: Google AI Mode: новая модель поиска, которая меняет всё
- Атака клонов или темная сторона Open Source
- А вам точно нужно делать и продвигать приложение? Два главных вопроса бизнесу перед разработкой
- Гайд по криптостойкости, как защитить наши данные
- [Перевод] Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen