Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

NRC: security issue #2429

Open
johannesbattjes opened this issue Mar 13, 2024 · 2 comments
Open

NRC: security issue #2429

johannesbattjes opened this issue Mar 13, 2024 · 2 comments
Labels
2024 attention bug Iets werkt niet zoals bedoeld nrc

Comments

@johannesbattjes
Copy link

In de response op het bevragen van de NRC - abonnement wordt een token meegegeven in het veld auth.
Stel dat een applicatie een ClientID nodig heeft met rechten op de NRC om een abonnement aan te maken en/of een notificatie.
Dan kan deze applicatie middels genoemde bevraging tevens alle tokens opvragen van alle applicaties met een abonnement.
Dit is een beveiligingsrisico.
Een goede eerste oplossing zou kunnen zijn dit veld te verwijderen uit de response.
@HenriKorver
Copy link
Collaborator

Als je als client abonnementen opvraagt van de NRC, dan krijgt je alleen de abonnementen terug van jezelf. Zo is het ook geïmplementeerd in de referentie-implementatie. Dus er is geen beveiligingsrisico. Het klopt dat dit niet duidelijk beschreven staat in de OAS , we zullen dit aanscherpen.

@HenriKorver HenriKorver added bug Iets werkt niet zoals bedoeld attention labels Mar 14, 2024
@michielverhoef
Copy link
Collaborator

michielverhoef commented Mar 19, 2024
edited

Doublure van #2136

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
2024 attention bug Iets werkt niet zoals bedoeld nrc
Projects
Kanban bord API's voor Zaakgericht werken
Status: Todo
Milestone
No milestone
Development

No branches or pull requests
3 participants
@michielverhoef @HenriKorver @johannesbattjes