Une faille de sécurité importante dans authenticate_with_http_digest a
été découverte. A cause d’un problème de communication entre le
reporter et la Rails-core team, ce trou a été dévoilé publiquement :
il est fortement recommandé de protéger vos applications existantes
utilisant cette méthode. Une méthode de protection (workaround) sans
avoir à patcher est disponible.
La correction est déjà effective dans Rails-edge et dans la future
version mineure de Rails 2.3 (sortie prévue dans quelques jours) :
http://groups.google.com/group/rubyonrails-security/browse_thread/thread/20e17a978d2ccbd3?hl=en
Cordialement,
Nicolas.