Leak des trigrammes existants #224

New issue

Closed

opened 2019-06-30 22:36:31 +02:00 by tbastian · 6 comments

tbastian commented 2019-06-30 22:36:31 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

Description

Lorsqu'on consulte son compte K-Fêt, on tombe sur la page eg. k-fet/accounts/LIQ. En modifiant cette URL pour changer le trigramme, avec un compte « standard », la réponse est soit 403 soit 404, selon si le trigramme existe ou pas.

Problème ?

Ce comportement peut être, ou non, considéré comme un problème — veut-on qu'on puisse check l'existence d'un trigramme en ligne ? Dans tous les cas, le fait qu'on y ait accès via un hack d'URL est une mauvaise chose, et les réponses devraient être uniformément 404, avec éventuellement un outil quelque part pour check si un trigramme existe.

# Description Lorsqu'on consulte son compte K-Fêt, on tombe sur la page eg. `k-fet/accounts/LIQ`. En modifiant cette URL pour changer le trigramme, avec un compte « standard », la réponse est soit [`403`](https://cof.ens.fr/gestion/k-fet/accounts/LIQ) soit [`404`](https://cof.ens.fr/gestion/k-fet/accounts/JKL), selon si le trigramme existe ou pas. # Problème ? Ce comportement peut être, ou non, considéré comme un problème — veut-on qu'on puisse check l'existence d'un trigramme en ligne ? Dans tous les cas, le fait qu'on y ait accès via un hack d'URL est une mauvaise chose, et les réponses devraient être uniformément `404`, avec éventuellement un outil quelque part pour check si un trigramme existe.

mpepin commented 2019-10-05 01:27:05 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

mentioned in commit 96adadce5e

mentioned in commit 96adadce5e5c5d10b9a55269af0ca7c3bcc86440

mpepin commented 2019-10-05 01:27:39 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

mentioned in merge request !364

mentioned in merge request !364

mpepin commented 2019-10-05 02:25:51 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

mentioned in commit e0285607a0

mentioned in commit e0285607a0524db2d843318937844b79100e882c

lstephan commented 2019-10-05 16:01:47 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

closed via merge request !364

closed via merge request !364

lstephan commented 2019-10-05 16:01:48 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

mentioned in commit b99fd03df2

mentioned in commit b99fd03df290d6a2816df2a33d586f178d404b8d

mpepin commented 2019-10-05 16:01:48 +02:00 (Migrated from git.eleves.ens.fr)

Copy link

closed via commit 96adadce5e

closed via commit 96adadce5e5c5d10b9a55269af0ca7c3bcc86440

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

thubrecht/daphne

agroudiev/virement-tirage

Production

thubrecht/bds-tests

mdebray/ajout_recherche_petits_cours

luj/adhesions

tbastian/kfet-rgpd

kerl/negatifs_handle_smtp_errors

thubrecht/export-ventes

Aufinal/backbone_checkout

Aufinal/es6-js

kerl/clickable_links

thubrecht/pause-mail-auto

bclement/autocomplete-queryset

kerl/authens

kerl/sitecof_absolute_urls

Evarin/sitecof-rewrite-urls

kerl/factor_autocompletion_views

Aufinal/alcoolémie

kerl/bds_registration

kerl/bds_export

kerl/bds_home

journal-de-caisse

kerl/dumpkfet

fix-shared-session

Kerl/mail_error_handling

aureplop/kfet-auth

aureplop/kfet-auth_cms

aureplop/core-deploy_initial

aureplop/install-authens

qwann/k-fet/graphs

aureplop/hooks_fix-pre-commit

aureplop/kpsul_js_refactor

aureplop/restructuring

aureplop/js_basket

supportBDS

Kerl/supportBDS/registration

Manet/k-fet/fix/160

v0.11

v0.10

v0.9

v0.8

v0.7.2

v0.7.1

v0.7

v0.6

v0.5

v0.4.2

v0.4.1

v0.4

v0.3.3

v0.3.2

v0.3.1

v0.3

v0.1

Labels

Clear labels   

devtype -- backend

Au programme : du Python, du Django...

  

devtype -- docs

  

devtype -- frontend

  

devtype -- user interface

Au programme : templating, JS, CSS...

  

difficulty -- easy

  

difficulty -- hard

Difficile et/ou risqué

  

difficulty -- normal

  

Doing

  

domain -- bda

Concerne l'application BdA

  

domain -- bds

  

domain -- cof

Concerne l'application COF

  

domain -- core

Dépendances externes, CI, linting...

  

domain -- kfet

Concerne l'application K-Fêt

  

Good first issue

  

priority -- high

Urgent quoi

  

priority -- low

  

priority -- medium

  

priority -- staff-wanted

L'équipe dirigeante du domaine en question souhaite cette fonctionnalité.

  

status -- development

En cours de développement

  

status -- discussion

Avant de coder, c'est bien de discuter

  

status -- need review

En attente de code review

  

status -- production

L'ajout/la modification est présente en production

  

status -- ready to merge

Plus qu'à merger !

  

status -- todo

Le développement devrait bientôt commencer

  

To Do

  

type -- bug

Signalement ou correction de bug

  

type -- hygiene

Tout ce qui amène à du code plus propre et un repo mieux organisé.

  

type -- improvement

Ajout/Demande d'évolution mineure d'une fonctionnalité existante

  

type -- new feature

Ajout/Demande d'une nouvelle fonctionnalité

No labels

devtype -- backend

devtype -- docs

devtype -- frontend

devtype -- user interface

difficulty -- easy

difficulty -- hard

difficulty -- normal

Doing

domain -- bda

domain -- bds

domain -- cof

domain -- core

domain -- kfet

Good first issue

priority -- high

priority -- low

priority -- medium

priority -- staff-wanted

status -- development

status -- discussion

status -- need review

status -- production

status -- ready to merge

status -- todo

To Do

type -- bug

type -- hygiene

type -- improvement

type -- new feature

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: DGNum/gestioCOF#224

No description provided.