Closed Lednerb closed 5 years ago
Ich verstehe natürlich dass die Testbarkeit cooler wäre, da es ja aber Security-Relevant ist, wäre mir ein zeitnaher Fix auch ohne Test lieber
Die Schwierigkeit hierbei liegt darin, dass die Nutzer-Domains über das Token extra von der Core-API abgerufen werden müssen, da die BLA keine Zuodnung Nutzer<->Domains kennt.
Das Problem befindet sich momentan auch ausschließlich in der Staging-Umgebung.
Ich werde die Abfrage aber nun hier erstmal einbauen, damit wir staging im nächsten Schritt mit den Fixes und PDF-Funktionen erstmal live bekommen.
Implementiert in 375bb29
Siehe auch #86
Momentan wird lediglich geprüft, ob ein Nutzer registriert ist:
https://github.com/SIWECOS/siwecos-business-layer/blob/d82fe2a643dc4afbe4262646b23f8725636cd716/app/Http/Requests/GenerateReportRequest.php#L15-L24
Es besteht die Möglichkeit, dass ein Nutzer einen Report von einem anderen Nutzer, einer anderen Domain, anfragen kann ohne dafür authorisiert zu sein.
Daher notwendig: Abfrage, ob der Scan auch zu einer Domain gehört, die zu dem jeweiligen Nutzer gehört.
Problem: Keine Testbarkeit, siehe: #83