Development #61130
protéger les jetons signing.dumps() en confidentialité
0%
Description
Ça fait écho à #60624, nos jetons sont protégés en intégrité mais pas en confidentialité, ça ne coûte rien d'ajouter le chiffrement AES implémenté dans a2 par dessus.
Fichiers
Révisions associées
utils: add dumps/loads for confidentiality protected tokens (#61130)
misc: use new signing.dumps/loads implementation (#61130)
Historique
Mis à jour par Benjamin Dauvergne il y a environ 2 ans
- Fichier 0002-misc-use-new-signing.dumps-loads-implementation-6113.patch 0002-misc-use-new-signing.dumps-loads-implementation-6113.patch ajouté
- Fichier 0001-utils-add-dumps-loads-for-confidentiality-protected-.patch 0001-utils-add-dumps-loads-for-confidentiality-protected-.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a environ 2 ans
J'ai fait en sorte que ça ressemble à la sortie de signing.dumps() pour ne pas casser les regexp du routage d'URL, du base64url séparé par des caractères ':'.
Mis à jour par Frédéric Péters il y a environ 2 ans
Comme pylint pointe de ce côté je serais pour un commentaire sur le src/authentic2/crypto.py pointant que tout est importé dans un module là pour compatibilité avec les imports existants.
J'aurais aussi séparé "déplacer le ficher" et "ajouter des méthodes dedans".
Mis à jour par Frédéric Péters il y a environ 2 ans
- Statut changé de Solution proposée à En cours
(mais même en ne divisant pas le commit ça m'irait, après les corrections pylint).
Mis à jour par Benjamin Dauvergne il y a environ 2 ans
- Fichier 0002-utils-add-dumps-loads-for-confidentiality-protected-.patch 0002-utils-add-dumps-loads-for-confidentiality-protected-.patch ajouté
- Fichier 0001-misc-move-authentic2.crypto-to-authentic2.utils.cryp.patch 0001-misc-move-authentic2.crypto-to-authentic2.utils.cryp.patch ajouté
- Fichier 0003-misc-use-new-signing.dumps-loads-implementation-6113.patch 0003-misc-use-new-signing.dumps-loads-implementation-6113.patch ajouté
- Statut changé de En cours à Solution proposée
Ok.
Mis à jour par Paul Marillonnet il y a environ 2 ans
- Statut changé de Solution proposée à Solution validée
Nickel, rien à redire, d’accord avec le découpage des commits de cette nouvelle version.
Si on peut juste retirer l’octet en trop dans le commentaire de 0001 (et donc le plagiat inintentionnel au connecteur cryptor de passerelle ☺) qui me perturbe, c’est bon pour moi !
Mis à jour par Benjamin Dauvergne il y a environ 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit f72d1d3b2a02cff8c4a71558145f77b0261d1988 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Wed Jan 26 16:56:03 2022 +0100 misc: use new signing.dumps/loads implementation (#61130) commit 0795cbeb8962a45f1303a8cde67ba2cc5ce21839 Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Wed Jan 26 16:48:20 2022 +0100 utils: add dumps/loads for confidentiality protected tokens (#61130) commit 2d93d95fc5e270728cdaab795751f1374b22515a Author: Benjamin Dauvergne <bdauvergne@entrouvert.com> Date: Thu Jan 27 08:27:38 2022 +0100 misc: move authentic2.crypto to authentic2.utils.crypto (#61130)
Mis à jour par Transition automatique il y a environ 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
misc: move authentic2.crypto to authentic2.utils.crypto (#61130)