ws: restriction-cache не инвалидируется — 30-секундное окно утечки #53

New Issue

Ghost · 2026-06-21T00:23:41+03:00

Ghost commented

2026-06-21 00:23:41 +03:00

Найдено при написании тестов (хвост PR #49).

WsService.invalidateSpaceRestrictionCache (apps/server/src/ws/ws.service.ts ~:44-48) не имеет вызывающих. Кэш spaceHasRestrictions (TTL 30с) ничем не сбрасывается при изменении ограничений пространства → реальное 30-секундное окно устаревания: после установки/снятия ограничения tree-payload с заголовками страниц может разослаться неавторизованным сокетам.

Предложение: привязать invalidateSpaceRestrictionCache к ручкам restrict/grant/revoke (или сократить TTL/инвалидировать по событию).

Найдено при написании тестов (хвост PR #49). `WsService.invalidateSpaceRestrictionCache` (`apps/server/src/ws/ws.service.ts` ~:44-48) **не имеет вызывающих**. Кэш `spaceHasRestrictions` (TTL 30с) ничем не сбрасывается при изменении ограничений пространства → реальное 30-секундное окно устаревания: после установки/снятия ограничения tree-payload с заголовками страниц может разослаться неавторизованным сокетам. **Предложение:** привязать `invalidateSpaceRestrictionCache` к ручкам restrict/grant/revoke (или сократить TTL/инвалидировать по событию).

Ghost added the bug security labels 2026-06-21 02:27:19 +03:00

Ghost referenced this issue

2026-06-21 02:33:15 +03:00

arch/realtime-tree: единый restriction-aware emit + единый снапшот move-аудитории (emitTreeEvent дублирует emitCommentEvent; окно гонки на move) #93

Ghost referenced this issue from a commit

2026-06-21 03:30:31 +03:00

fix(ws): shrink restriction-cache TTL to bound the leak window (#53)

Ghost referenced this issue

2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

Ghost closed this issue

2026-06-21 14:10:27 +03:00