fix: закрыть авторизацию доступа к группам и сессиям в Web #1

New Issue

Closed

opened 2026-04-23 19:40:43 +03:00 by Toutsu · 1 comment

Toutsu commented 2026-04-23 19:40:43 +03:00

Owner

Copy Link

Copy Source

Сейчас страницы и сервисы Web работают по GroupId/SessionId из URL без явной проверки, что текущий авторизованный Telegram-пользователь действительно владеет соответствующей группой.

Что нужно сделать:

• проверять принадлежность группы текущему GM перед выдачей списка сессий;
• проверять принадлежность сессии текущему GM перед открытием и сохранением редактирования;
• возвращать 403/redirect, если пользователь пытается открыть чужие данные;
• добавить покрытие тестами на позитивный и негативный сценарии.

Критерий готовности:
Любой авторизованный пользователь не может прочитать или изменить чужую группу/сессию даже при знании GUID.

Сейчас страницы и сервисы Web работают по `GroupId`/`SessionId` из URL без явной проверки, что текущий авторизованный Telegram-пользователь действительно владеет соответствующей группой. Что нужно сделать: - проверять принадлежность группы текущему GM перед выдачей списка сессий; - проверять принадлежность сессии текущему GM перед открытием и сохранением редактирования; - возвращать 403/redirect, если пользователь пытается открыть чужие данные; - добавить покрытие тестами на позитивный и негативный сценарии. Критерий готовности: Любой авторизованный пользователь не может прочитать или изменить чужую группу/сессию даже при знании GUID.

Toutsu added this to the Этап 1 — Стабилизация платформы milestone 2026-04-23 19:44:28 +03:00

Toutsu added the type:bugarea:webpriority:p0securitynext-up labels 2026-04-23 19:46:22 +03:00

Toutsu commented 2026-04-23 20:09:58 +03:00

Author

Owner

Copy Link

Copy Source

Исправлено в 1c4cfb7 (main): закрыт доступ к чужим группам и сессиям в Web, добавлен redirect на /access-denied и тесты на позитивный/негативный сценарии.

Исправлено в `1c4cfb7` (`main`): закрыт доступ к чужим группам и сессиям в Web, добавлен redirect на `/access-denied` и тесты на позитивный/негативный сценарии.

Toutsu closed this issue 2026-04-23 20:09:58 +03:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

codex/co-gm-delegation

v1.7.0

v1.6.0

v1.5.0

v1.4.1

v1.4.0

v1.3.0

v1.2.0

v1.1.5

v1.1.4

v1.1.3

v1.1.2

v1.1.1

v1.1.0

v1.0.1

v1.0.0

Labels

Clear labels

area:bot

Telegram bot and worker logic

area:infra

Infrastructure, runtime and deployment

area:web

Blazor web dashboard

next-up

Recommended immediate backlog

priority:p0

Critical priority

priority:p1

High priority

priority:p2

Medium priority

priority:p3

Lower priority

security

Security-sensitive work

type:bug

Bug fix or corrective work

type:chore

Maintenance and supporting work

type:feature

New product functionality

type:refactor

Structural change without direct feature growth

type:test

Testing and coverage work

No Label area:web next-up priority:p0 security type:bug

Milestone

No items

No Milestone Этап 1 — Стабилизация платформы

Projects

Clear projects

No project

Assignees

Clear assignees

Toutsu

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: Toutsu/GmRelayBot#1