Projet

Général

Profil

Bug #34793

Quand une URL contient des mots de passe, ne pas la rapporter tel quelle dans les messages d'erreur :

Ajouté par Benjamin Dauvergne il y a presque 5 ans. Mis à jour il y a plus de 4 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Lauréline Guérin
Version cible:
-
Début:
12 juillet 2019
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Vu dans une trace :

From: noreply@t**deg**.com 
Subject: [passerelle.t**deg**.com] ERROR: GET https://<REVMOED>:<REMOVED>@download.*****.com/ws/rdata/tcl_sytral.tclpassagearret/all.json?maxfeatures=100000&field=id&value=1328 (=> 502
Report

GET https://<REMOVED>:<REMOVED>@download.*****.com/ws/rdata/tcl_sytral.tclpassagearret/all.json?maxfeatures=100000&field=id&value=1328 (=> 502)

Fichiers

0001-errors-hide-credentials-in-urls-in-error-messages-34.patch (3,65 ko) 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch Lauréline Guérin, 10 octobre 2019 16:25
0001-errors-hide-credentials-in-urls-in-error-messages-34.patch (4,13 ko) 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch Lauréline Guérin, 11 octobre 2019 09:44
0001-errors-hide-credentials-in-urls-in-error-messages-34.patch (4,28 ko) 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch Lauréline Guérin, 11 octobre 2019 15:13

Révisions associées

Révision 8ac5660f (diff)
Ajouté par Lauréline Guérin il y a plus de 4 ans

errors: hide credentials in urls in error messages (#34793)

Historique

#1

Mis à jour par Lauréline Guérin il y a plus de 4 ans

  • Assigné à mis à Lauréline Guérin
#2

Mis à jour par Lauréline Guérin il y a plus de 4 ans

Première tentative: un EmailAdminHandler custom
(je suppose qu'il serait mieux dans hobo)
Cette solution me plaît moyennement: si vous avez une meilleure idée je suis preneuse ...

#3

Mis à jour par Benjamin Dauvergne il y a plus de 4 ans

Mon idée à moi en ouvrant ce ticket c'était plutôt de trouver l'endroit où on log "GET %(url)s" et de faire un urlparse(url) et d'y remplacer login/password par ** si on en trouve, et de reconstruire l'URL ensuite.

#4

Mis à jour par Lauréline Guérin il y a plus de 4 ans

Comme évoqué sur jabber, je pars sur une solution dans ProxyLogger pour passerelle, et je ferai un ticket plus général pour hobo

#6

Mis à jour par Thomas Noël il y a plus de 4 ans

Je n'arrive pas à savoir si urlparse(url) peut ou non déclencher une exception, ce qui serait problématique ici si on se retrouve un jour avec quelque chose de "non conforme" dans url (mais je n'ai pas de contre-exemple non plus). Je serais presque tenté de te propose de faire un try/except:continue bourrin autour du urlparse, mais comme je n'ai aucun exemple qui permettra de tester l'affaire, j'ai l'air un peu bête.

#7

Mis à jour par Lauréline Guérin il y a plus de 4 ans

avec un try/except et quelques tests supplémentaires :)
(qui ne cassaient pas l'implem du coup, mais j'ai ajouté un try/except quand même)

#8

Mis à jour par Benjamin Dauvergne il y a plus de 4 ans

  • Statut changé de Solution proposée à Solution validée
#9

Mis à jour par Lauréline Guérin il y a plus de 4 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit 8ac5660f25ec71ccf71e2bea76bfac694c13a596
Author: Lauréline Guérin <zebuline@entrouvert.com>
Date:   Fri Oct 11 09:42:33 2019 +0200

    errors: hide credentials in urls in error messages (#34793)
#10

Mis à jour par Frédéric Péters il y a plus de 4 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF