Fix broken secret-detection algorithm, making anonymous users vulnerable.
[csrf-magic.git] / NEWS.txt
blob42f6fe8170c2d282a856fc4df1eaac7b62d0951f
2                             [[     news     ]]
4 1.0.2 released 2009-03-XX
6  [SECURITY FIXES]
8     - Due to a typo, csrf-magic accidentally treated the secret key
9       as always present.  This means that there was a possible CSRF
10       attack against users without any cookies.  No attacks in the
11       wild were known at the time of this release.  Thanks Jakub
12       Vr├ína for reporting.
14 1.0.1 released 2008-11-02
16  [NEW FEATURES]
18     - Support for composite tokens; this also fixes a bug with using
19       IP-based tokens for users with cookies disabled.
21     - Native support cookie tokens; use csrf_conf('cookie', $name) to
22       specify the name of a cookie that the CSRF token should be
23       placed in.  This is useful if you have a Squid cache, and need
24       to configure it to ignore this token.
26     - Tips/tricks section in README.txt.
28     - There is now a two hour expiration time on all tokens.  This
29       can be modified using csrf_conf('expires', $seconds).
31     - ClickJacking protection using an iframe breaker.  Disable with
32       csrf_conf('frame-breaker', false).
34  [BUG FIXES]
36     - CsrfMagic.send() incorrectly submitted GET requests twice,
37       once without the magic token and once with the token.  Reported
38       by Kelly Lu <lubird@gmail.com>.