[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] #5446

vincentporte · 2025-01-22T14:26:54Z

🤔 Pourquoi ?

les approval sont consultables à partir de leur id incrémental

Catégories changelog

PASS IAE

🍰 Comment ?

🧑‍🏭 ajout du champ public_id, uuid, unique, sur les modèles Approval
🧑‍🏭 hydratation du champ, puis passage en default uuid4

⚠️ public_id reste en null=True pour éviter un déphasage entre l'état de la base de données et django pendant les migrations.

⏭️ PR préparatoire à la #5431

🚨

Mettre à jour le CHANGELOG_breaking_changes.md > Non

xavfernandez

Dans l'idée, il faut que les tests passent sur tous les commits pour faciliter un éventuel git bisect. Donc la mise à jour des snapshots devraient être squashés avec l'ajout du champs.

xavfernandez · 2025-01-22T14:30:25Z

itou/approvals/migrations/0007_approval_public_id.py

+            name="public_id",
+            field=uuid_field(default=None),
+        ),
+        migrations.RunPython(fill_public_id_approval, migrations.RunPython.noop, elidable=True),


Il vaut mieux mettre l'ajout de la colonne dans une migration dédiée, sans atomic=False. Sinon, si le déploiement est interrompu, ça va être pénible.

xavfernandez · 2025-01-22T14:31:21Z

itou/approvals/migrations/0007_approval_public_id.py

+            field=uuid_field(default=None),
+        ),
+        migrations.RunPython(fill_public_id_approval, migrations.RunPython.noop, elidable=True),
+        migrations.AlterField(model_name="approval", name="public_id", field=uuid_field(default=uuid.uuid4)),


Pourquoi faire un AlterField ? Tu peux directement ajouter le champs avec son default=uuid.uuid4.

je vérifie, mais lors des premiers essais, avec un default=uuid.uuid4, la migration appliquait la même valeur d'uuid sur toutes les lignes, et cassait la contrainte d'unicité.

Effectivement, il faut bien faire un AddField(..., default=None, ...) suivi d'un AlterField(..., default=uuid.uuid4, ...) 😞

xavfernandez · 2025-01-22T15:11:46Z

itou/approvals/models.py

@@ -560,7 +561,7 @@ class Approval(PENotificationMixin, CommonApprovalMixin):
    public_id = models.UUIDField(
        verbose_name="identifiant public",
        help_text="identifiant opaque, pour les API et les URLs publiques",
-        default=None,
+        default=uuid.uuid4,


J'aurais mis cette modif dans le 1er commit (avec une migration enchaînant AddField & AlterField), mais ça marche aussi comme cela :)

vincentporte self-assigned this Jan 22, 2025

vincentporte added the modifié label Jan 22, 2025

vincentporte mentioned this pull request Jan 22, 2025

[IDOR] sécurisation des urls de consultation des PASS IAE - part 2 [GEN-2405] #5431

Merged

xavfernandez reviewed Jan 22, 2025

View reviewed changes

add public_id to Approval Model

e7c4ff1

vincentporte force-pushed the vp/idor_approvals_part1 branch from 0d9a3e5 to 20c311e Compare January 22, 2025 15:02

vincentporte requested review from xavfernandez and tonial January 22, 2025 15:03

populate public_id and set uuid4 as default in Approval Model

df34895

vincentporte force-pushed the vp/idor_approvals_part1 branch from 20c311e to df34895 Compare January 22, 2025 15:09

xavfernandez approved these changes Jan 22, 2025

View reviewed changes

vincentporte added this pull request to the merge queue Jan 22, 2025

Merged via the queue into master with commit 3bbf119 Jan 22, 2025
9 checks passed

vincentporte deleted the vp/idor_approvals_part1 branch January 22, 2025 15:35

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] #5446

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] #5446

vincentporte commented Jan 22, 2025 •

edited

Loading

xavfernandez left a comment

xavfernandez Jan 22, 2025

xavfernandez Jan 22, 2025

vincentporte Jan 22, 2025

xavfernandez Jan 22, 2025 •

edited

Loading

xavfernandez Jan 22, 2025

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] #5446

[IDOR] sécurisation des urls de consultation des PASS IAE - part 1 [GEN-2405] #5446

Conversation

vincentporte commented Jan 22, 2025 • edited Loading

🤔 Pourquoi ?

Catégories changelog

🍰 Comment ?

🚨

xavfernandez left a comment

Choose a reason for hiding this comment

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

vincentporte Jan 22, 2025

Choose a reason for hiding this comment

xavfernandez Jan 22, 2025 • edited Loading

Choose a reason for hiding this comment

xavfernandez Jan 22, 2025

Choose a reason for hiding this comment

vincentporte commented Jan 22, 2025 •

edited

Loading

xavfernandez Jan 22, 2025 •

edited

Loading