ログイン履歴の記録に不具合があり、
http://www.rentafree.net/
のログインフォームからのログインが記録できていませんでした。

6月23日に行ったパスワードにハッシュモードを追加した変更以降に不具合が生じていました。

現在は修正されています。

これまでブログのXML-RPC機能はユーザーのログインパスワードで利用できましたが、
機能を利用しない場合は無効にすべきだと思うので、仕様を変更します。

[変更済み]
ブログ基本設定にAPIパスワードの項目を設けました。
これがXML-RPC用のパスワードになります。

[現行仕様]
現在はAPIパスワードが設定されていない場合は、これまで通りユーザーのログインパスワードで利用できます。
APIパスワードを設定した場合はログインパスワードでは利用できません。

[将来]
APIパスワードが設定されていない場合はXML-RPCが利用できないようにします。
猶予期間は1ヶ月程度で考えています。

公式テンプレートの「1-2カラム・ハイブリッド」と「1-2-3カラム・ハイブリッド」ですが、レイアウトの切り替えがem単位での判別でしたがpx単位に変更しました。
フォントサイズが16pxの場合で同じ値です。

サイドバーはpx単位なので、全体もpxの方が良いと判断しました。

SSLログインページのワンタイム認証機能の仕様をちょっと変えました。
表面上は変わりません。

パスワードリマインダが利用できないと利便性が低下することにより強度の低いパスワードが利用される懸念があるためパスワードハッシュによる認証は行っていませんでしたが、
選択式でハッシュモードにする機能を導入しました。
パスワード変更から設定できます。

ハッシュモードにした場合、パスワードリマインダが再設定になります。
パスワードリマインダによる再設定が行われた場合はハッシュモードは解除されます。

ハッシュモードを設定した場合はサーバーにはパスワードの桁数とSHA1ハッシュが記録されます。
桁数違いでハッシュが衝突した場合は否認されます。


[追記]
パスワードは最大255文字まで有効でしたが、今回の変更で桁数を64進1桁で記録する関係で最大64文字になりました。

桁数の記録はヤメました。
元々255文字までだったことと構想段階ではMD5にする考えだったため桁数を限定した方が衝突しにくいと思いましたが、
ランダム生成機能が16桁固定のため16桁のパスワードが多いと思うのと、短いパスワードの場合のことも考えると桁数を限定しない方が良いような気がしたので。

パスワードにユーザー別に固有の値を追加した上でSHA1を計算するように変更しました。