Bug #34793
Quand une URL contient des mots de passe, ne pas la rapporter tel quelle dans les messages d'erreur :
0%
Description
Vu dans une trace :
From: noreply@t**deg**.com Subject: [passerelle.t**deg**.com] ERROR: GET https://<REVMOED>:<REMOVED>@download.*****.com/ws/rdata/tcl_sytral.tclpassagearret/all.json?maxfeatures=100000&field=id&value=1328 (=> 502 Report GET https://<REMOVED>:<REMOVED>@download.*****.com/ws/rdata/tcl_sytral.tclpassagearret/all.json?maxfeatures=100000&field=id&value=1328 (=> 502)
Fichiers
Révisions associées
Historique
Mis à jour par Lauréline Guérin il y a plus de 4 ans
- Fichier 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch ajouté
- Patch proposed changé de Non à Oui
Première tentative: un EmailAdminHandler custom
(je suppose qu'il serait mieux dans hobo)
Cette solution me plaît moyennement: si vous avez une meilleure idée je suis preneuse ...
Mis à jour par Benjamin Dauvergne il y a plus de 4 ans
Mon idée à moi en ouvrant ce ticket c'était plutôt de trouver l'endroit où on log "GET %(url)s" et de faire un urlparse(url) et d'y remplacer login/password par ** si on en trouve, et de reconstruire l'URL ensuite.
Mis à jour par Lauréline Guérin il y a plus de 4 ans
Comme évoqué sur jabber, je pars sur une solution dans ProxyLogger pour passerelle, et je ferai un ticket plus général pour hobo
Mis à jour par Lauréline Guérin il y a plus de 4 ans
- Fichier 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch ajouté
- Statut changé de Nouveau à Solution proposée
2e tentative
Mis à jour par Thomas Noël il y a plus de 4 ans
Je n'arrive pas à savoir si urlparse(url) peut ou non déclencher une exception, ce qui serait problématique ici si on se retrouve un jour avec quelque chose de "non conforme" dans url (mais je n'ai pas de contre-exemple non plus). Je serais presque tenté de te propose de faire un try/except:continue
bourrin autour du urlparse, mais comme je n'ai aucun exemple qui permettra de tester l'affaire, j'ai l'air un peu bête.
Mis à jour par Lauréline Guérin il y a plus de 4 ans
- Fichier 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch 0001-errors-hide-credentials-in-urls-in-error-messages-34.patch ajouté
avec un try/except et quelques tests supplémentaires :)
(qui ne cassaient pas l'implem du coup, mais j'ai ajouté un try/except quand même)
Mis à jour par Benjamin Dauvergne il y a plus de 4 ans
- Statut changé de Solution proposée à Solution validée
Mis à jour par Lauréline Guérin il y a plus de 4 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 8ac5660f25ec71ccf71e2bea76bfac694c13a596 Author: Lauréline Guérin <zebuline@entrouvert.com> Date: Fri Oct 11 09:42:33 2019 +0200 errors: hide credentials in urls in error messages (#34793)
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Statut changé de Résolu (à déployer) à Solution déployée
errors: hide credentials in urls in error messages (#34793)