]> sjero.net Git - wget/blobdiff - NEWS
projects / wget / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
[svn] Fix for bug #20299: Basic auth creds sent before challenge
[wget] / NEWS
diff --git a/NEWS b/NEWS
index 4d3a51b0785507cccf583ef303867a72014d6f11..e5f6878d563b90cee01c2ea7a1db02d21c082459 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -7,6 +7,14 @@ Please send GNU Wget bug reports to <bug-wget@gnu.org>.
 \f
 * Changes in Wget 1.11.
 
+** No authentication credentials are sent until a challenge is issued,
+for improved security. Authentication handling is still not
+RFC-compliant, as once a Basic challenge has been received, it will
+assume it can send credentials to any URL at that same host, and not
+just the ones at or below the original authenticated location.
+Credentials for Digest authentication are still never saved or issued
+automatically, and continue to require a challenge for each resource.
+
 ** Wget now saves HTTP downloads using file names specified by the
 `Content-Disposition' header.  This is a standard way of specifying
 the file name used by many web dynamically generated pages.
GNU Wget (from http://git.savannah.gnu.org/cgit/wget.git). Modified to allow selection of TCP source port. Clone using: git clone http://sjero.net/src/wget/ wget