Project

General

Profile

Development #61130

protéger les jetons signing.dumps() en confidentialité

Added by Benjamin Dauvergne 4 months ago. Updated 4 months ago.

Status:
Fermé
Priority:
Normal
Category:
-
Target version:
-
Start date:
26 Jan 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Ça fait écho à #60624, nos jetons sont protégés en intégrité mais pas en confidentialité, ça ne coûte rien d'ajouter le chiffrement AES implémenté dans a2 par dessus.


Files

Associated revisions

Revision 2d93d95f (diff)
Added by Benjamin Dauvergne 4 months ago

misc: move authentic2.crypto to authentic2.utils.crypto (#61130)

Revision 0795cbeb (diff)
Added by Benjamin Dauvergne 4 months ago

utils: add dumps/loads for confidentiality protected tokens (#61130)

Revision f72d1d3b (diff)
Added by Benjamin Dauvergne 4 months ago

misc: use new signing.dumps/loads implementation (#61130)

History

#1

Updated by Benjamin Dauvergne 4 months ago

  • Assignee set to Benjamin Dauvergne
#3

Updated by Benjamin Dauvergne 4 months ago

J'ai fait en sorte que ça ressemble à la sortie de signing.dumps() pour ne pas casser les regexp du routage d'URL, du base64url séparé par des caractères ':'.

#4

Updated by Frédéric Péters 4 months ago

Comme pylint pointe de ce côté je serais pour un commentaire sur le src/authentic2/crypto.py pointant que tout est importé dans un module là pour compatibilité avec les imports existants.

J'aurais aussi séparé "déplacer le ficher" et "ajouter des méthodes dedans".

#5

Updated by Frédéric Péters 4 months ago

  • Status changed from Solution proposée to En cours

(mais même en ne divisant pas le commit ça m'irait, après les corrections pylint).

#7

Updated by Paul Marillonnet 4 months ago

  • Status changed from Solution proposée to Solution validée

Nickel, rien à redire, d’accord avec le découpage des commits de cette nouvelle version.

Si on peut juste retirer l’octet en trop dans le commentaire de 0001 (et donc le plagiat inintentionnel au connecteur cryptor de passerelle ☺) qui me perturbe, c’est bon pour moi !

#8

Updated by Benjamin Dauvergne 4 months ago

  • Status changed from Solution validée to Résolu (à déployer)
commit f72d1d3b2a02cff8c4a71558145f77b0261d1988
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Wed Jan 26 16:56:03 2022 +0100

    misc: use new signing.dumps/loads implementation (#61130)

commit 0795cbeb8962a45f1303a8cde67ba2cc5ce21839
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Wed Jan 26 16:48:20 2022 +0100

    utils: add dumps/loads for confidentiality protected tokens (#61130)

commit 2d93d95fc5e270728cdaab795751f1374b22515a
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Thu Jan 27 08:27:38 2022 +0100

    misc: move authentic2.crypto to authentic2.utils.crypto (#61130)
#9

Updated by Transition automatique 4 months ago

  • Status changed from Résolu (à déployer) to Solution déployée
#10

Updated by Transition automatique about 2 months ago

Automatic expiration

Also available in: Atom PDF