<div dir="ltr">Hi all,<div><br></div><div style>I've noticed yesterday that the user's password was forwarded in plaintext to apps through the post_login and password_change hooks.</div><div style><br></div><div style>
This doesn't seem to me a safe practice, and would like to propose a change in the 2 Hooks API to "correct" that.</div><div style><br></div><div style>Before working on a technical solution, I'd like to know what other applications use the password as provided, and their exact needs for it.</div>
<div style><br></div><div style>So far, the Media application has been identified, which uses an SHA256 hash. Any other ?</div></div>