Bug #55986
Vérifier au téléchargement de la facture si celle-ci appartient à l’utilisateur connecté (?)
0%
Description
#13688 finalement rejeté mais qui lève peut-être un problème : quelqu’un connaissant le crypto_id de la facture peut la télécharger.
Demandes liées
Historique
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Lié à Development #13688: Mettre le lien de téléchargement du PDF dans la popup de la facture ajouté
Mis à jour par Frédéric Péters il y a plus de 2 ans
Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
Frédéric Péters a écrit :
Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?
L'idée d'origine c'est qu'on peut transférer le mail de notification d'une nouvelle facture à un tiers et que celui-ci ne pourra que payer, voir le sujet et le montant mais pas télécharger la facture qui pourrait contenir des données personelles; mais de fait il suffit de modifier un poil l'URL1 pour télécharger la facture. Ça n'a rien à avoir avec le fait que l'URL soit signée ou le jeton opaque (il n'est pas si opaque que ça d'ailleurs).
1
url(
r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/pdf$',
ItemDownloadView.as_view(),
name='download-item-pdf',
),
url(
r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/$',
ItemView.as_view(),
name='view-item',
),
on ajoute pdf en fin d'URL et bim on a la facture; si le PDF n'est sensé être visible que connecté avec le bon utilisateur il faut vérifier ça tout simplement.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Lié à Support #55998: *_axel: le paiement anonyme ne doit pas fonctionner ajouté