Projet

Général

Profil

Bug #13914

sécurisation de la configuration par défaut de django-rest-framework

Ajouté par Thomas Noël il y a plus de 7 ans. Mis à jour il y a plus de 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Thomas Noël
Catégorie:
-
Version cible:
-
Début:
09 novembre 2016
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

Actuellement hobo ajoute l'autorisation par signature pour DRF à des autorisations par défaut (basic et session).

Il serait plus prudent de n'autoriser que les URL signées. Exemple de soucis : les API chrono ouvertes à un user connecté sur chrono, alors qu'on devrait imposer l'accès par signature.

Et, dans la foulée, de fermer par défaut toutes les vues DRF en imposant la permission IsAuthenticated.

Fichiers

0001-secure-Django-Rest-Framework-auth-in-django_config_c.patch (1,37 ko) 0001-secure-Django-Rest-Framework-auth-in-django_config_c.patch Thomas Noël, 09 novembre 2016 11:56

Révisions associées

Révision 17c0f375 (diff)
Ajouté par Thomas Noël il y a plus de 7 ans

secure Django Rest Framework auth in django_config_common (#13914)

Historique

#1

Mis à jour par Thomas Noël il y a plus de 7 ans

#2

Mis à jour par Serghei Mihai il y a plus de 7 ans

Chrono, corbo exigent déjà la permission rest_framework.permissions.IsAuthenticated, si je ne me trompe pas.

#3

Mis à jour par Thomas Noël il y a plus de 7 ans

Serghei Mihai a écrit :

Chrono, corbo exigent déjà la permission rest_framework.permissions.IsAuthenticated, si je ne me trompe pas.

L'idée est ici qu'on utilise DRF pour faire des API Publik, et que celles-ci doivent être toutes protégées par signature : on le précise et on le force donc dans hobo, qui est la glue qui fait de nos logiciels un ensemble nommé "Publik".

Mais dans le code des logiciels qui utilisent DRF, dans chrono, corbo, combo… on peut tout à fait imposer/préciser d'autres permission/authentification. Et c'est même important.

#4

Mis à jour par Serghei Mihai il y a plus de 7 ans

Ack

#5

Mis à jour par Frédéric Péters il y a plus de 7 ans

  • Statut changé de En cours à Résolu (à déployer)

Poussé; à rapidement tagguer pour que ça soit bien vérifié sur la recette.

commit 17c0f375b5e8e3386baeb241d5138dcce1fa5434
Author: Thomas NOEL <tnoel@entrouvert.com>
Date:   Wed Nov 9 11:54:48 2016 +0100

    secure Django Rest Framework auth in django_config_common (#13914)
#6

Mis à jour par Frédéric Péters il y a plus de 5 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF