blame | history | patch | commit | commitdiff | ignore whitespace
Tres Seaver
2012-03-19 20d23f553145ab61e52890bc08a8d1093f91b8e6 
 CHANGES.txt


@@ -1,11 +1,56 @@


repoze.who Changelog


====================




After 2.0a3 (unreleased)


------------------------


2.0.1 (unreleased)


------------------




- Fix auth_tkt plugin to not hand over tokens as strings to paste. See


- TBD






2.0 (2011-09-28)


----------------




- ``auth_tkt`` plugin:  strip any port number from the 'Domain' of generated


  cookies.  http://bugs.repoze.org/issue66




- Further harden middleware, calling ``close()`` on the iterable even if


  raising an exception for a missing challenger.


  http://bugs.repoze.org/issue174






2.0b1 (2011-05-24)


------------------




- Enabled standard use of logging module's configuration mechanism. 


  See http://docs.python.org/dev/howto/logging.html#configuring-logging-for-a-library


  Thanks to jgoldsmith for the patch: http://bugs.repoze.org/issue178






- ``repoze.who.plugins.htpasswd``:  defend against timing-based attacks.






2.0a4 (2011-02-02)


------------------




- Ensure that the middleware calls ``close()`` (if it exists) on the


  iterable returned from thw wrapped application, as required by PEP 333.


  http://bugs.repoze.org/issue174




- Make ``make_api_factory_with_config`` tolerant of invalid filenames /


  content for the config file:  in such cases, the API factory will have


  *no* configured plugins or policies:  it will only be useful for retrieving


  the API from an environment populated by middleware.




- Fix bug in ``repoze.who.api`` where the ``remember()`` or ``forget()``


  methods could return a None if the identifier plugin returned a None.




- Fix ``auth_tkt`` plugin to not hand over tokens as strings to paste. See


  http://lists.repoze.org/pipermail/repoze-dev/2010-November/003680.html




- Fix ``auth_tkt`` plugin to add "secure" and "HttpOnly" to cookies when


  configured with ``secure=True``:  these attributes prevent the browser from


  sending cookies over insecure channels, which could be vulnerable to some


  XSS attacks.




- Avoid propagating unicode 'max_age' value into cookie headers.  See


  https://bugs.launchpad.net/bugs/674123 .


@@ -18,7 +63,8 @@


  otherwise need to use private methods of the API, and reach down into


  its plugins.




2.0a3 (2010-09030)




2.0a3 (2010-09-30)


------------------




- Deprecated the following plugins, moving their modules, tests, and docs


@@ -26,9 +72,9 @@




  - ``repoze.who.plugins.cookie.InsecureCookiePlugin``




  - ``repoze.who.plugins.form.FormPlugin


  - ``repoze.who.plugins.form.FormPlugin``




  - ``repoze.who.plugins.form.RedirectingFormPlugin


  - ``repoze.who.plugins.form.RedirectingFormPlugin``




- Made the ``repoze.who.plugins.cookie.InsecureCookiePlugin`` take a


  ``charset`` argument, and use to to encode / decode login and password.


@@ -54,6 +100,7 @@


  (added missing ``global_config`` argument).  See


  http://bugs.repoze.org/issue114






2.0a2 (2010-03-25)


------------------




@@ -69,6 +116,7 @@




- Adjusted logging level for some lower-level details from ``info``


  to ``debug``.








2.0a1 (2010-02-24)


@@ -136,6 +184,7 @@


  - ``verify``








1.0.18 (2009-11-05)


-------------------




@@ -144,6 +193,7 @@


  ``Expires`` attributes of those cookies.








1.0.17 (2009-11-05)


-------------------




@@ -152,6 +202,7 @@


  file).








1.0.16 (2009-11-04)


-------------------