[Sécurité] Cloisonnement des rôles (+ divers)

[numew]

Ticket

#2645

Description

/SignalementController

• Mettre un Not Found sur reprise la de signalement en statuts : EN_SIGNALEMENT / ARCHIVE
• Bloquer la soumission d’un signalementDraft archivé

/Security/SecurityController

• Suppression de la route “app_csrf_token” plus utilisé
• Fix contrôles sur la route /_up et FileVoter (erreur amené suite à la nouvelle page suivi usager)

/Back/AffectationController

• Ajout de tests sur la route ‘back_signalement_toggle_affectation’
• Bloquer la possibilité de supprimer une affectation sur un signalement différent (+ tests)

/Back/BackTagController

• mise en cohérence du contrôle de la route ‘back_tag_create’ et du twig ‘tags.html.twig’

/Back/SignalementEditController

• Modification du voter sur ‘SIGN_EDIT’ afin que le contrôle vérifie les statuts du signalement

/Back/SignalementFileController

• Contrôle pour l’export PDF basé sur le voter ‘SIGN_VIEW’

Back/SignalementVisitesController

• Ajout du contrôle par voter ‘INTERVENTION_EDIT_VISITE’ sur la route ‘back_signalement_visite_deleterapport’

D'autres points doivent être traités dans des tickets séparés

#2677
#2678
#2679
#2680

[hmeneuvrier]

C'est cool ces changements, c'est propre.

J'ai fais quelques tests (non exhaustifs) ça a l'air ok

[emilschn]

Ce que tu as fait a l'air de fonctionner.
J'ai un petit doute en terme d'ux en ce qui concerne le Not Found, pour quelqu'un de pas trop à l'aise, qui reprendrait un lien reçu dans un e-mail précédent. Je trouve ça un peu hard comme retour.

Ce que tu as fait est mieux que le fonctionnement actuel, donc je valide.
Mais je pense que la question pourrait se poser, non ?

[numew]

Ce que tu as fait a l'air de fonctionner. J'ai un petit doute en terme d'ux en ce qui concerne le Not Found, pour quelqu'un de pas trop à l'aise, qui reprendrait un lien reçu dans un e-mail précédent. Je trouve ça un peu hard comme retour.

Ce que tu as fait est mieux que le fonctionnement actuel, donc je valide. Mais je pense que la question pourrait se poser, non ?

@emilschn tu envisage quoi, un message flash d'erreur indicatif ?

[emilschn]

Ce que tu as fait a l'air de fonctionner. J'ai un petit doute en terme d'ux en ce qui concerne le Not Found, pour quelqu'un de pas trop à l'aise, qui reprendrait un lien reçu dans un e-mail précédent. Je trouve ça un peu hard comme retour.
Ce que tu as fait est mieux que le fonctionnement actuel, donc je valide. Mais je pense que la question pourrait se poser, non ?

@emilschn tu envisage quoi, un message flash d'erreur indicatif ?

Oui, ce serait déjà bien.
On peut aussi proposer une redirection vers le formulaire qui permet de retrouver le signalement si il est EN_SIGNALEMENT.

[sonarcloud]

Quality Gate passed

Issues
1 New issue
0 Accepted issues

Measures
0 Security Hotspots
No data about Coverage
1.2% Duplication on New Code

See analysis details on SonarCloud

[numew]

Ce que tu as fait a l'air de fonctionner. J'ai un petit doute en terme d'ux en ce qui concerne le Not Found, pour quelqu'un de pas trop à l'aise, qui reprendrait un lien reçu dans un e-mail précédent. Je trouve ça un peu hard comme retour.
Ce que tu as fait est mieux que le fonctionnement actuel, donc je valide. Mais je pense que la question pourrait se poser, non ?

@emilschn tu envisage quoi, un message flash d'erreur indicatif ?

Oui, ce serait déjà bien. On peut aussi proposer une redirection vers le formulaire qui permet de retrouver le signalement si il est EN_SIGNALEMENT.

Ok, c'est fait pour le message flash après redirection sur la page de dépôt de signalemement

[emilschn]

Ce que tu as fait a l'air de fonctionner. J'ai un petit doute en terme d'ux en ce qui concerne le Not Found, pour quelqu'un de pas trop à l'aise, qui reprendrait un lien reçu dans un e-mail précédent. Je trouve ça un peu hard comme retour.
Ce que tu as fait est mieux que le fonctionnement actuel, donc je valide. Mais je pense que la question pourrait se poser, non ?

@emilschn tu envisage quoi, un message flash d'erreur indicatif ?

Oui, ce serait déjà bien. On peut aussi proposer une redirection vers le formulaire qui permet de retrouver le signalement si il est EN_SIGNALEMENT.

Ok, c'est fait pour le message flash après redirection sur la page de dépôt de signalemement

Je valide en l'état. Je pense que c'est pas encore idéal en terme d'UX, mais ça permettra de savoir si des gens tombent sur cette erreur ou non :)
Si on n'a jamais de retour, y'a pas de raison de faire différemment.