Bug #55986
Vérifier au téléchargement de la facture si celle-ci appartient à l’utilisateur connecté (?)
0%
Description
#13688 finalement rejeté mais qui lève peut-être un problème : quelqu’un connaissant le crypto_id de la facture peut la télécharger.
Related issues
History
Updated by Paul Marillonnet over 1 year ago
- Related to Development #13688: Mettre le lien de téléchargement du PDF dans la popup de la facture added
Updated by Frédéric Péters over 1 year ago
Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?
Updated by Benjamin Dauvergne over 1 year ago
Frédéric Péters a écrit :
Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?
L'idée d'origine c'est qu'on peut transférer le mail de notification d'une nouvelle facture à un tiers et que celui-ci ne pourra que payer, voir le sujet et le montant mais pas télécharger la facture qui pourrait contenir des données personelles; mais de fait il suffit de modifier un poil l'URL1 pour télécharger la facture. Ça n'a rien à avoir avec le fait que l'URL soit signée ou le jeton opaque (il n'est pas si opaque que ça d'ailleurs).
1
url(
r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/pdf$',
ItemDownloadView.as_view(),
name='download-item-pdf',
),
url(
r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/$',
ItemView.as_view(),
name='view-item',
),
on ajoute pdf en fin d'URL et bim on a la facture; si le PDF n'est sensé être visible que connecté avec le bon utilisateur il faut vérifier ça tout simplement.
Updated by Benjamin Dauvergne over 1 year ago
- Related to Support #55998: *_axel: le paiement anonyme ne doit pas fonctionner added