[IDOR] Admin: sécurisation des urls de gestion des membres [GEN-2399]

[vincentporte]

🤔 Pourquoi ?

les urls des companies_views, prescribers_views et institutions_views permettent l'accès à la gestion des membres (ajout, mise à jour, suppression) à partir de l'id incrémental du user

Catégories changelog

Employeur, Prescripteur, Institutions

🍰 Comment ?

🦺 remplacer les id par les public_id
🦺 ajout de 3 routes temporaires pour le deploiement zero downtime
🦺 simplification de routes utilisant re_path, pour supprimer les regex sur les uuid

🚨 À vérifier

• Mettre à jour le CHANGELOG_breaking_changes.md ? > Non

ref notion

[francoisfreitag]

Pour moi, il n’y a pas IDOR ici non plus, car les membres sont limités aux membres de l’entreprise et l’accès est vérifié par des contrôles (est bien admin de la structure, etc).
On peut accéder à la liste des membres de la structure par une page dédiée, et on affichera 404 si on essai d’utiliser un chemin avec une PK (ou un public id) d’un utilisateur non membre de la structure.

[xavfernandez]

On pourrait n'avoir qu'une seule vue:
def deactivate_member(request, public_id=None, user_id=None, template_name="companies/deactivate_member.html"):
et gérer en fonction de l'argument présent.

[vincentporte]

ca valait le coup, merci !

[xavfernandez]

Et j'aurais plutôt vu 3 commits différents pour companies_views, prescribers_views et institutions_views (sans tous les découpages).

[notion-workspace]

🏎️ [IDOR] securiser les urls de gestion des membres des compagnies, prescripteurs et institutions