etiketka
Описание
Языки
- Python47,2%
- HTML28,4%
- JavaScript13,2%
- CSS9,2%
- Dockerfile2%
Андрей Федотов
Выявленные и исправленные проблемы:
1. Безопасность аутентификации и авторизации
✅ Добавлена проверка активности пользователя (is_active)
✅ Добавлены специализированные зависимости require_auth и require_admin
✅ Cookie теперь имеют флаги secure=True и samesite='strict'
✅ Добавлен max_age=28800 (8 часов) для cookie
2. Rate Limiting
✅ Установлен slowapi для защиты от брутфорса
✅ Добавлен лимит 5 попыток/минуту для /api/auth/login
✅ Добавлен лимит 30 попыток/минуту для печати
✅ Добавлен лимит 20 попыток/минуту для пакетной печати
✅ Добавлен лимит 10 попыток/минуту для создания пользователей
3. Валидация входных данных
✅ Добавлена функция validate_container_number() для проверки формата номеров
✅ Добавлена функция validate_username() для проверки имен пользователей
✅ Добавлена проверка минимальной длины пароля (8 символов)
✅ Добавлена проверка роли пользователя (admin/operator)
✅ Добавлена проверка максимального количества номеров (100)
4. Обновление зависимостей
✅ Обновлен bcrypt с 3.1.7 до 4.1.2 (исправление CVE)
✅ Закреплены версии всех пакетов для предсказуемости
✅ Добавлен slowapi==0.1.9 для rate limiting
✅ Добавлен requests==2.31.0 для healthcheck
5. Docker улучшения
✅ Создан .dockerignore для оптимизации сборки
✅ Создан .gitignore для исключения ненужных файлов
✅ Dockerfile теперь использует non-root пользователя appuser
✅ Добавлен healthcheck в Dockerfile
✅ Оптимизирована установка зависимостей
✅ Docker Compose использует postgres:15-alpine вместо postgres:15
✅ Добавлен healthcheck для БД
✅ Добавлено depends_on с условием service_healthy
✅ Добавлен restart: unless-stopped для автовосстановления
✅ SECRET_KEY вынесен в .env (не хардкодится в compose)
6. Исправления кода
✅ Удален дублированный return img в label_gen.py
✅ Улучшены сообщения об ошибках (на русском языке)
✅ Добавлено предупреждение о пароле по умолчанию в init_db.py
✅ Улучшена структура обработки ошибок
✅ Добавлена проверка существования пользователя перед блокировкой
Статус: ✅ Все исправлено и протестировано
04 июн 2026, 13:4004 июн 2026, 13:40f352469
Андрей Федотов
Выявленные и исправленные проблемы:
1. Безопасность аутентификации и авторизации
✅ Добавлена проверка активности пользователя (is_active)
✅ Добавлены специализированные зависимости require_auth и require_admin
✅ Cookie теперь имеют флаги secure=True и samesite='strict'
✅ Добавлен max_age=28800 (8 часов) для cookie
2. Rate Limiting
✅ Установлен slowapi для защиты от брутфорса
✅ Добавлен лимит 5 попыток/минуту для /api/auth/login
✅ Добавлен лимит 30 попыток/минуту для печати
✅ Добавлен лимит 20 попыток/минуту для пакетной печати
✅ Добавлен лимит 10 попыток/минуту для создания пользователей
3. Валидация входных данных
✅ Добавлена функция validate_container_number() для проверки формата номеров
✅ Добавлена функция validate_username() для проверки имен пользователей
✅ Добавлена проверка минимальной длины пароля (8 символов)
✅ Добавлена проверка роли пользователя (admin/operator)
✅ Добавлена проверка максимального количества номеров (100)
4. Обновление зависимостей
✅ Обновлен bcrypt с 3.1.7 до 4.1.2 (исправление CVE)
✅ Закреплены версии всех пакетов для предсказуемости
✅ Добавлен slowapi==0.1.9 для rate limiting
✅ Добавлен requests==2.31.0 для healthcheck
5. Docker улучшения
✅ Создан .dockerignore для оптимизации сборки
✅ Создан .gitignore для исключения ненужных файлов
✅ Dockerfile теперь использует non-root пользователя appuser
✅ Добавлен healthcheck в Dockerfile
✅ Оптимизирована установка зависимостей
✅ Docker Compose использует postgres:15-alpine вместо postgres:15
✅ Добавлен healthcheck для БД
✅ Добавлено depends_on с условием service_healthy
✅ Добавлен restart: unless-stopped для автовосстановления
✅ SECRET_KEY вынесен в .env (не хардкодится в compose)
6. Исправления кода
✅ Удален дублированный return img в label_gen.py
✅ Улучшены сообщения об ошибках (на русском языке)
✅ Добавлено предупреждение о пароле по умолчанию в init_db.py
✅ Улучшена структура обработки ошибок
✅ Добавлена проверка существования пользователя перед блокировкой
Статус: ✅ Все исправлено и протестировано
04 июн 2026, 13:40
04 июн 2026, 13:40f352469
20 дней назад
20 дней назад
20 дней назад
20 дней назад
20 дней назад
20 дней назад
README.md