Примечания к выпуску Django 1.4.8 ¶

Отказ в обслуживании через хэшеры паролей ¶

В предыдущих версиях Django не было ограничений на длину открытого текста пароля. Это позволяло проводить атаку типа «отказ в обслуживании» путем отправки поддельных, но очень больших паролей, связывая ресурсы сервера, выполняя (дорогостоящий и все более дорогостоящий в зависимости от длины пароля) вычисление соответствующего хэша.

Начиная с версии 1.4.8, структура аутентификации Django накладывает ограничение на пароли в 4096 байт и не выполняет аутентификацию с любым отправленным паролем большей длины.

Исправлено использование sensitive_post_parameters()в django.contrib.authадминке ¶

Оформление представлений администратора add_viewи user_change_passwordпользователя с помощью sensitive_post_parameters() не включено method_decorator()(требуется, поскольку представления являются методами), что приводит к неправильному применению декоратора. Это использование было исправлено и sensitive_post_parameters()теперь будет вызывать исключение, если оно используется неправильно.