Bug #21858
Demander une signature pour l'API de code de suivi
Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Version cible:
-
Début:
14 février 2018
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Description
Pour le moment il y a zéro protection autour de l'appel /api/code/xxx, il faudrait exiger que l'appel soit signé.
Fichiers
Demandes liées
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a environ 6 ans
- Fichier 0001-api-check-request-signature-in-tracking-code-lookup-.patch 0001-api-check-request-signature-in-tracking-code-lookup-.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a environ 6 ans
- Lié à Development #9320: Permettre la recherche par code de suivi sur plusieurs communes ajouté
Mis à jour par Thomas Noël il y a environ 6 ans
Au départ j'avoue être perplexe, puisque l'accès en connaissant directement le code de suivi est "libre" via le frontoffice. Mais je me dis que cet accès code de suivi via frontoffice a vocation a être protégé contre les attaques, typiquement via un "rate limit", protection qui sera bien moins forte sur /api
Donc, ack.
Mis à jour par Frédéric Péters il y a environ 6 ans
Côté frontoffice il y a #19019 où on aimerait également imposer une signature.
Mis à jour par Frédéric Péters il y a environ 6 ans
- Statut changé de En cours à Résolu (à déployer)
commit 31e374494f0d6d2d315436e53fbd12701628c880 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Wed Feb 14 23:46:09 2018 +0100 api: check request signature in tracking code lookup API (#21858)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
api: check request signature in tracking code lookup API (#21858)