SECURITY: Special:BotPasswords should reauthenticate
authorBrad Jorsch <bjorsch@wikimedia.org>
Wed, 9 May 2018 19:14:38 +0000 (15:14 -0400)
committerBrian Wolff <bawolff+wn@gmail.com>
Sun, 10 Jun 2018 18:17:28 +0000 (18:17 +0000)
More specifically, it should reauthenticate when creating a bot password
or resetting the password. But we may as well do it for all accesses.

Bug: T193237
Change-Id: I9a38a3109492753fff1f33c0f280e5b0f1fc1a76

RELEASE-NOTES-1.32
includes/specials/SpecialBotPasswords.php

index cdc2582..eab7613 100644 (file)
@@ -25,6 +25,7 @@ production.
   This determines whether to set a cookie when an IP user is blocked. Doing so means
   that a blocked user, even after moving to a new IP address, will still be blocked.
 * The archive table's ar_rev_id field is now unique.
+* Special:BotPasswords now requires reauthentication.
 
 === New features in 1.32 ===
 * (T112474) Generalized the ResourceLoader mechanism for overriding modules
index f03565a..2d3a0cc 100644 (file)
@@ -57,6 +57,10 @@ class SpecialBotPasswords extends FormSpecialPage {
                return $this->getConfig()->get( 'EnableBotPasswords' );
        }
 
+       protected function getLoginSecurityLevel() {
+               return $this->getName();
+       }
+
        /**
         * Main execution point
         * @param string|null $par