Project

General

Profile

Bug #55986

Vérifier au téléchargement de la facture si celle-ci appartient à l’utilisateur connecté (?)

Added by Paul Marillonnet over 1 year ago. Updated about 1 year ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Target version:
-
Start date:
05 August 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No
Tags:

Description

#13688 finalement rejeté mais qui lève peut-être un problème : quelqu’un connaissant le crypto_id de la facture peut la télécharger.


Related issues

Related to Combo - Development #13688: Mettre le lien de téléchargement du PDF dans la popup de la factureRejeté19 October 2016

Actions
Related to Passerelle - Support #55998: *_axel: le paiement anonyme ne doit pas fonctionnerFermé05 August 2021

Actions

History

#1

Updated by Paul Marillonnet over 1 year ago

  • Related to Development #13688: Mettre le lien de téléchargement du PDF dans la popup de la facture added
#2

Updated by Frédéric Péters over 1 year ago

Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?

#3

Updated by Benjamin Dauvergne over 1 year ago

Frédéric Péters a écrit :

Oui l'idée est d'avoir une url opaque, une fois connue bien sûr elle peut être utilisée. Quel est le problème ?

L'idée d'origine c'est qu'on peut transférer le mail de notification d'une nouvelle facture à un tiers et que celui-ci ne pourra que payer, voir le sujet et le montant mais pas télécharger la facture qui pourrait contenir des données personelles; mais de fait il suffit de modifier un poil l'URL1 pour télécharger la facture. Ça n'a rien à avoir avec le fait que l'URL soit signée ou le jeton opaque (il n'est pas si opaque que ça d'ailleurs).

1

    url(
        r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/pdf$',
        ItemDownloadView.as_view(),
        name='download-item-pdf',
    ),
    url(
        r'^lingo/item/(?P<regie_id>[\w,-]+)/(?P<item_crypto_id>[\w,-]+)/$',
        ItemView.as_view(),
        name='view-item',
    ),

on ajoute pdf en fin d'URL et bim on a la facture; si le PDF n'est sensé être visible que connecté avec le bon utilisateur il faut vérifier ça tout simplement.

#4

Updated by Benjamin Dauvergne over 1 year ago

  • Related to Support #55998: *_axel: le paiement anonyme ne doit pas fonctionner added
#5

Updated by Benjamin Dauvergne about 1 year ago

  • Tags set to accessible

Also available in: Atom PDF