NEWS.txt

   1
   2                             [[     news     ]]
   3
   4 1.0.2 released 2009-03-08
   5
   6  [SECURITY FIXES]
   7
   8     - Due to a typo, csrf-magic accidentally treated the secret key
   9       as always present.  This means that there was a possible CSRF
  10       attack against users without any cookies.  No attacks in the
  11       wild were known at the time of this release.  Thanks Jakub
  12       Vrána for reporting.
  13
  14 1.0.1 released 2008-11-02
  15
  16  [NEW FEATURES]
  17
  18     - Support for composite tokens; this also fixes a bug with using
  19       IP-based tokens for users with cookies disabled.
  20
  21     - Native support cookie tokens; use csrf_conf('cookie', $name) to
  22       specify the name of a cookie that the CSRF token should be
  23       placed in.  This is useful if you have a Squid cache, and need
  24       to configure it to ignore this token.
  25
  26     - Tips/tricks section in README.txt.
  27
  28     - There is now a two hour expiration time on all tokens.  This
  29       can be modified using csrf_conf('expires', $seconds).
  30
  31     - ClickJacking protection using an iframe breaker.  Disable with
  32       csrf_conf('frame-breaker', false).
  33
  34  [BUG FIXES]
  35
  36     - CsrfMagic.send() incorrectly submitted GET requests twice,
  37       once without the magic token and once with the token.  Reported
  38       by Kelly Lu <lubird@gmail.com>.