Projet

Général

Profil

Actions

Fonctionnalité #13911

fermé

Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche

Ajouté par Emmanuel DILLARD il y a plus de 4 ans. Mis à jour il y a plus de 3 ans.

Statut:
R&D - Terminé
Priorité:
0-Bloquant
Assigné à:
Damien BUREL
Version cible:
Début:
13/05/2020
Echéance:

Description

Sécurité :

Pour injecter un courrier et les pièces jointes associées par WebService, il faut :

  • Injecter le courrier, le resId nous est retourné en réponse
  • Injecter la PJ en faisant référence au resId précédemment retourné.

Or nous avons rencontré une erreur à l'injection de la PJ. Celle-ci nous indique que le resId n'est pas dans notre périmètre. Pour pallier à cette erreur, nous avons donné tous les droits de visibilité au groupe contenant notre compte de service (clause 1=1).

Jusqu'à présent nos comptes de service n'avaient aucun droit (clause 1=2) afin d'empêcher tous traitements non autorisé (lecture, modification, ...). Or maintenant, nous devons donner la visibilité à des documents au groupe de service. Ce point est pour moi un risque de sécurité.

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de R&D - A étudier à Etude planifiée

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Priorité changé de 1-Majeur à 0-Bloquant

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Priorité changé de 0-Bloquant à 1-Majeur

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Tracker changé de Anomalie à Fonctionnalité
  • Sujet changé de Injection de Pièce jointe : nécessité de donner la visibilité sur tout le périmètre au compte de service à Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de Etude planifiée à 17
  • Assigné à changé de EDI PO à Emmanuel DILLARD

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de 17 à Etude planifiée

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de Etude planifiée à En cours d'analyse PO

US sur la non visibilité des pj ?
Filtrer le WS sur les routes ?

Paramétrage du compte de service (limiter)

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de En cours d'analyse PO à Etude planifiée
  • Version cible changé de 20.03 (Fin de vie) à 20.10 Develop

-> par défaut : toutes les routes
-> Mode avancé : écrire les routes

Administration de l'utilisateur / mode avancé
Textarea (liens vers la doc)

Test de conformité du code

La clause reste au niveau du groupe.

Pas de migration
Sauvegarde en BDD

-> 20.10

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de Etude planifiée à En attente financement

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Sujet changé de Injection de Pièce jointe : nécessité de sécuriser la clause du groupe associé au compte de service à Utilisateur Webservice : mode avancé de sécurisation par routes REST en liste blanche

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de En attente financement à R&D - A planifier
  • Priorité changé de 1-Majeur à 0-Bloquant

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Projet changé de 298 à 299
  • Statut changé de R&D - A planifier à R&D - En cours

Mis à jour par Florian AZIZIAN il y a plus de 4 ans

  • Assigné à Emmanuel DILLARD supprimé

Mis à jour par Damien BUREL il y a plus de 4 ans

  • Assigné à mis à Damien BUREL

Mis à jour par Damien BUREL il y a plus de 4 ans

  • Assigné à Damien BUREL supprimé

Mis à jour par Damien BUREL il y a plus de 4 ans

  • Assigné à mis à Damien BUREL

Mis à jour par Damien BUREL il y a plus de 4 ans

  • Statut changé de R&D - En cours à R&D - Terminé

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Statut changé de R&D - Terminé à R&D - En cours

RAF
Ajouter un lien vers la doc WS
"Passer une ligne entre chaque route"

Mis à jour par Damien BUREL il y a plus de 4 ans

  • Statut changé de R&D - En cours à R&D - Terminé

Mis à jour par Emmanuel DILLARD il y a plus de 4 ans

  • Projet changé de 299 à 298

Mis à jour par Emmanuel DILLARD il y a plus de 3 ans

  • Projet changé de 298 à Backlog Courrier
  • Version cible changé de 20.10 Develop à 20.10
Actions

Formats disponibles : Atom PDF