[robustesse du hash du mot de passe utilisateur] : spip_auteurs.htpass
Le problème :
La colonne "htpass" de la table spip_auteurs est à ce jour encore remplie avec le hash MD5 (https://www.php.net/manual/fr/function.crypt.php) de l'utilisateur. L'intérêt d'avoir une colonne "pass" avec un hash de bien (bien) meilleur qualité est donc nul lors d'un accès non autorisé à la BDD (compte admin compromis, injection SQL, etc).
Solution proposée : avoir la possibilité de désactiver le calcul de ce champ qui (au pifomètre) n'est vraiment utile que de dans de très rare cas. Solution++ : que cette option soit activée par défaut avec une MAJ de DB qui supprime les anciennes valeurs.