fix(pdf): brand-spoof + median=0 empty-state + SSRF + дисклеймер + sources (Refs #772) #789

Merged
bot-reviewer merged 1 commit from fix/772-pdf-security into main 2026-05-30 16:55:57 +00:00
Collaborator

Что

5 связанных client-facing + legal дефектов PDF-генерации (audit #7/#8/#9/#13/#33). PDF уходит клиентам, демо 2026-06-01. Все 5 частей сделаны.

Части

  • A (#7) brand-spoof — бренд PDF теперь из estimate.created_by (get_brand_for_user), НЕ из ?brand= query. Query-param удалён → юзер не может подставить чужой бренд.
  • B (#9) median=0generate_trade_in_pdf гейтит по estimate.insufficient_data → empty-state «недостаточно данных» вместо «0,0 млн» + фабрикованной таблицы потерь.
  • C (#8) дисклеймер_build_cover рендерит brand.pdf_disclaimer + валидированный brand.logo_url на обложке (были =None).
  • D (#13) SSRFbase_url="file:///"base_url=None + _make_safe_url_fetcher (блокирует file://, allow data:/CDN); _safe_logo_url + _safe_color (^#RRGGBB$) валидируют перед вставкой в HTML/CSS. grep base_url="file:///" → 0.
  • E (#33)n_with_repair=n_total (убран фабрикованный 40%-эвристик); sources из estimate.sources_used (не хардкод); None-guard в _examples_rows (рендер , не краш).

report_number оставлен как есть (estimate_id UUID уникален; смена display-формата сломала бы нумерацию без явного спека — зафиксировано). brand.py изменений не потребовал.

Тесты

tests/test_pdf_security.py (новый): brand-from-owner, insufficient→empty-state, safe_url/safe_color allow-deny, file:// blocked, None-fields no-crash. pytest -k "pdf or brand" → 54 pass, ruff clean.

Refs #772

## Что 5 связанных client-facing + legal дефектов PDF-генерации (audit #7/#8/#9/#13/#33). PDF уходит клиентам, демо 2026-06-01. **Все 5 частей сделаны.** ## Части - **A (#7) brand-spoof** — бренд PDF теперь из `estimate.created_by` (`get_brand_for_user`), НЕ из `?brand=` query. Query-param удалён → юзер не может подставить чужой бренд. - **B (#9) median=0** — `generate_trade_in_pdf` гейтит по `estimate.insufficient_data` → empty-state «недостаточно данных» вместо «0,0 млн» + фабрикованной таблицы потерь. - **C (#8) дисклеймер** — `_build_cover` рендерит `brand.pdf_disclaimer` + валидированный `brand.logo_url` на обложке (были `=None`). - **D (#13) SSRF** — `base_url="file:///"` → `base_url=None` + `_make_safe_url_fetcher` (блокирует `file://`, allow `data:`/CDN); `_safe_logo_url` + `_safe_color` (`^#RRGGBB$`) валидируют перед вставкой в HTML/CSS. `grep base_url="file:///"` → 0. - **E (#33)** — `n_with_repair=n_total` (убран фабрикованный 40%-эвристик); sources из `estimate.sources_used` (не хардкод); None-guard в `_examples_rows` (рендер `—`, не краш). `report_number` оставлен как есть (estimate_id UUID уникален; смена display-формата сломала бы нумерацию без явного спека — зафиксировано). `brand.py` изменений не потребовал. ## Тесты `tests/test_pdf_security.py` (новый): brand-from-owner, insufficient→empty-state, safe_url/safe_color allow-deny, file:// blocked, None-fields no-crash. `pytest -k "pdf or brand"` → 54 pass, ruff clean. Refs #772
bot-backend added 1 commit 2026-05-30 16:51:39 +00:00
5 связанных client-facing+legal дефектов PDF-генерации (audit #7/#8/#9/#13/#33):
A (#7): бренд PDF из estimate.created_by (get_brand_for_user), НЕ из ?brand=
  query — param удалён → brand-spoof невозможен.
B (#9): generate_trade_in_pdf гейтит по estimate.insufficient_data → empty-state
  страница «недостаточно данных» вместо «0,0 млн» + фабрикованной таблицы потерь.
C (#8): _build_cover рендерит brand.logo_url (validated) + brand.pdf_disclaimer
  на обложке (были =None).
D (#13): _safe_logo_url/_safe_color + _make_safe_url_fetcher блокирует file://;
  base_url=None (был file:///) → SSRF closed. logo_url+primary_color валидируются.
E (#33): n_with_repair=n_total (убран фабрикованный 40%); sources из
  estimate.sources_used (не хардкод); None-guard в _examples_rows.
report_number не менялся (estimate_id UUID — уникален; смена display сломала бы
нумерацию без чёткого спека).

brand.py изменений не потребовал. pytest -k 'pdf or brand' 54 pass, ruff clean.
bot-reviewer approved these changes 2026-05-30 16:55:40 +00:00
bot-reviewer left a comment
Collaborator

APPROVE

PDF security, 5 частей (#772). trade_in.py + trade_in_pdf.py + новый тест (config.py НЕ тронут → нет конфликта с #790). Security tripwire clear: allowlist-домены публичны, нет hex/key/JWT.

Correctness (все 5 частей проверены в диффе)

  • A (#7) brand-spoof: эндпоинт убрал brand query-param; бренд теперь get_brand_for_user(row.created_by) — server-side двойник #765, блокирует brand-skinned PDF чужого бренда (чейн IDOR #690/#710). Тест ассертит удаление param из сигнатуры.
  • B (#9) median=0: generate_trade_in_pdf гейтит на insufficient_data_build_insufficient_data_page вместо фабрикованного 0-млн отчёта + loss-таблицы. Согласовано с #697/#740/#748.
  • C (#8): обложка рендерит escaped pdf_disclaimer + валидированный logo (fallback на name).
  • D (#13) SSRF: base_url="file:///"None + _make_safe_url_fetcher (только data:/https:, блок file://); _safe_logo_url (https+allowlist или data:); _safe_color (^#RRGGBB$). Двухслойная защита (allowlist + scheme-block). Закрывает file:// exfiltration-вектор.
  • E (#33): убран фабрикованный ~40% (n_with_repair=n_total), sources из estimate.sources_used не хардкод, None-guards в _examples_rows.
  • report_number оставлен (задокументировано — UUID уникален, нет спека на формат).

Tests — тщательный test_pdf_security.py: empty-state, disclaimer/logo, safe_logo_url allow/deny (file/http/unknown/data/None), safe_color, url_fetcher (file блок, data/https allow, http блок), base_url≠file:///, n_with_repair, sources-from-estimate, None-guards, signature. WeasyPrint stubbed. 54 pass, ruff clean.

Scope/security — trade_in.py + trade_in_pdf.py + тест; нет config.py, нет миграции, нет литеральных secrets, нет self-extending триггера.

Verdict: APPROVE (Praktika security #772). Client-facing/legal PDF → qa.

<!-- gendesign-review-bot: sha=77692b2 verdict=approve --> ✅ APPROVE PDF security, 5 частей (#772). trade_in.py + trade_in_pdf.py + новый тест (config.py НЕ тронут → нет конфликта с #790). **Security tripwire clear**: allowlist-домены публичны, нет hex/key/JWT. **Correctness (все 5 частей проверены в диффе)** - **A (#7) brand-spoof**: эндпоинт убрал `brand` query-param; бренд теперь `get_brand_for_user(row.created_by)` — server-side двойник #765, блокирует brand-skinned PDF чужого бренда (чейн IDOR #690/#710). Тест ассертит удаление param из сигнатуры. - **B (#9) median=0**: `generate_trade_in_pdf` гейтит на `insufficient_data` → `_build_insufficient_data_page` вместо фабрикованного 0-млн отчёта + loss-таблицы. Согласовано с #697/#740/#748. - **C (#8)**: обложка рендерит escaped `pdf_disclaimer` + валидированный logo (fallback на name). - **D (#13) SSRF**: `base_url="file:///"` → `None` + `_make_safe_url_fetcher` (только data:/https:, блок file://); `_safe_logo_url` (https+allowlist или data:); `_safe_color` (`^#RRGGBB$`). Двухслойная защита (allowlist + scheme-block). Закрывает file:// exfiltration-вектор. - **E (#33)**: убран фабрикованный `~40%` (`n_with_repair=n_total`), sources из `estimate.sources_used` не хардкод, None-guards в `_examples_rows`. - `report_number` оставлен (задокументировано — UUID уникален, нет спека на формат). **Tests** — тщательный `test_pdf_security.py`: empty-state, disclaimer/logo, safe_logo_url allow/deny (file/http/unknown/data/None), safe_color, url_fetcher (file блок, data/https allow, http блок), base_url≠file:///, n_with_repair, sources-from-estimate, None-guards, signature. WeasyPrint stubbed. 54 pass, ruff clean. **Scope/security** — trade_in.py + trade_in_pdf.py + тест; нет config.py, нет миграции, нет литеральных secrets, нет self-extending триггера. **Verdict: ✅ APPROVE** (Praktika security #772). Client-facing/legal PDF → qa.
bot-reviewer merged commit 38d44f46b7 into main 2026-05-30 16:55:57 +00:00
bot-reviewer deleted branch fix/772-pdf-security 2026-05-30 16:55:57 +00:00
Sign in to join this conversation.
No reviewers
No milestone
No project
No assignees
2 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: lekss361/gendesign#789
No description provided.