-
Ghost
released this
2023-08-29 07:26:59 +00:00 | 136 commits to master since this releaseDieses Update dient primär der Behebung besonders gravierender Sicherheitsschwachstellen.
Weitere Sicherheits- und Funktionsupdates sowie Fehlerbehebungen folgen in späteren Versionen.Changelog
- Cross Site Request Forgery (CSRF) durch Session-Tokens verhindert
- Nutzereingaben werden vor Einfügen in die HTML-Struktur ordnungsgemäß codiert
- Eingabevalidierung an kritischen Stellen (u.a. Login und Registrierung) hinzugefügt bzw. verbessert
- Argon2id als Passwort-Hash-Algorithmus eingesetzt; automatisches Rehashing bei zukünftigen Logins
- Datenbankabfragen auf benötigte Spalten beschränkt
- Statuscode 404 wird über vorgesehene Funktion gesetzt
- Sichere Parameter für Session-Cookie gesetzt
- HSTS-Header wird nicht mehr im Skript gesetzt, dies erledigt der Webserver
Aufgrund fehlender Kompatibilität des Hash-Algorithmus zur Nutzerverwaltung von OpenSimulator ist diese Version nicht zur produktiven Nutzung geeignet.
Downloads