zds-site icon indicating copy to clipboard operation
zds-site copied to clipboard

Published 20 hours ago verified publisher icon zestedesavoir

Suppression des méthodes PATCH et DELETE de la documentation de l'API

Open Migwel opened this issue 2 years ago • 5 comments

Dans la documentation de l'API, on montre que les méthodes PATCH et DELETE sont autorisées pour certains endpoints (/api/galeries/{id}/, /api/forums/message/{id}/karma/, ...). Or, ces méthodes sont bloquées au niveau de nginx donc inutilisables (v. la configuration ansible).

Comme ces méthodes sont interdites, il faudrait les retirer de la documentation de l'API afin de ne pas induire les utilisateurs en erreur.

Migwel avatar Apr 04 '22 17:04 Migwel

Pourquoi sont-elles interdites ? Ne serait-il pas plus pertinent de les autoriser sur les API qui les utilisent ?

On a aujourd'hui un cas d'usage bloqué par cela (projet d'entwanne d'auto nettoyer ses galeries de contenus).

Le cas opposé, est-ce documenté quelque part ? Ça ne me dit rien…

AmauryCarrade avatar Aug 02 '22 08:08 AmauryCarrade

La méthode DELETE a été interdite en 2017 à cause d'un soucis de sécurité apparemment, mais je n'arrive pas à retrouver des messages qui en détaillerait les raisons.

https://github.com/zestedesavoir/ansible-zestedesavoir/blob/7d81b48c2775a6aa260ed610ce90792dea6e6169/roles/web/templates/nginx/sites-available/zestedesavoir.j2#L99-L109

Situphen avatar Aug 02 '22 09:08 Situphen

Sans plus de détails sur les soucis de sécurité, je me suis dit que c'était peut-être un problème de contrôle d'accès comme on n'a pu en avoir de temps en temps (par exemple dans les MP dernièrement).

J'ai regardé le code des API à la recherche de manques évidents, mais c'est trop touffu pour que ça saute aux yeux en furetant. Il faudrait vraiment faire un audit plus systématique pour voir si les manques pourraient être corrigés à ce niveau-là.

Quoi qu'il en soit, cette hypothèse n'est pas très solide, parce qu'il n'y a pas de raison pour que des soucis de contrôle d'accès ne concernent pas non plus d'autres méthodes qui modifient les données, comme PUT. Bref, je sèche !

Arnaud-D avatar Oct 21 '22 08:10 Arnaud-D

Histoire qu'il y ait une trace sur ce ticket :

  • en août j'avais demandé plus d'informations à vhf (responsable de l'équipe technique à l'époque) sur la raison du blocage de ces deux méthodes ;
  • il m'a donné les détails sur la faille de sécurité dans l'API qui a mené à bloquer ces méthodes ;
  • je viens de les transmettre à Arnaud-D et à l'adresse de courriel de l'équipe technique (donc à quelques autres membres de l'équipe ;
  • évidemment, il vaut mieux que ça ne soit pas diffusé publiquement avant la correction de cette faille.

Situphen avatar Oct 23 '22 17:10 Situphen