arch/public-share: единый ShareService.resolveReadableSharePage вместо трёх копий резолва (shareId,pageId)->страница #92

New Issue

Closed

opened 2026-06-21 02:33:15 +03:00 by Ghost · 0 comments

Ghost commented 2026-06-21 02:33:15 +03:00

Copy Link

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж).

Область: apps/server/src/core/share (ShareService) + apps/server/src/core/ai-chat (public-share-chat.controller.ts, tools/public-share-chat-tools.service.ts)

Наблюдение
Граница безопасности фичи — «резолвится ли пара (shareId, pageId) в пригодную, не-ограниченную страницу внутри ЭТОЙ шары» — выписана как async-последовательность в 3 местах, которые должны быть байт-в-байт идентичны (getShareForPage → share.id===shareId → findById → deletedAt → hasRestrictedAncestor).

Значимость
Forward-looking, не текущий баг: три пути сейчас согласованы, инструменты перепроверяют scope сервер-сайд. Но расхождение контроллер/инструмент может тихо открыть доступ.

Опции

• Option 1 (medium): один async-шов ShareService.resolveReadableSharePage(shareId, pageId, workspaceId): {share, page} | null (null при любом сбое); getSharePage и funnel контроллера зовут его; deriveShareAccess схлопывается до «не-null ⇒ pageInShare». Pros: ядровой инвариант в одном месте, эквивалент уже есть в getSharedPage. Cons: правка нескольких call-site.
• Option 2 (small): оставить 3 инлайна, но покрыть спекой restricted-descendant + unresolvable + cross-share-id для ОБОИХ путей, чтобы расхождение валило тест. Pros: дёшево. Cons: дубликат остаётся.

Рекомендация
Склоняюсь к Option 1 — ядровой security-инвариант, эквивалентный резолв уже существует в getSharedPage.

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж). **Область:** apps/server/src/core/share (ShareService) + apps/server/src/core/ai-chat (public-share-chat.controller.ts, tools/public-share-chat-tools.service.ts) **Наблюдение** Граница безопасности фичи — «резолвится ли пара (shareId, pageId) в пригодную, не-ограниченную страницу внутри ЭТОЙ шары» — выписана как async-последовательность в 3 местах, которые должны быть байт-в-байт идентичны (getShareForPage → share.id===shareId → findById → deletedAt → hasRestrictedAncestor). **Значимость** Forward-looking, не текущий баг: три пути сейчас согласованы, инструменты перепроверяют scope сервер-сайд. Но расхождение контроллер/инструмент может тихо открыть доступ. **Опции** - *Option 1 (medium)*: один async-шов `ShareService.resolveReadableSharePage(shareId, pageId, workspaceId): {share, page} | null` (null при любом сбое); getSharePage и funnel контроллера зовут его; deriveShareAccess схлопывается до «не-null ⇒ pageInShare». Pros: ядровой инвариант в одном месте, эквивалент уже есть в getSharedPage. Cons: правка нескольких call-site. - *Option 2 (small)*: оставить 3 инлайна, но покрыть спекой restricted-descendant + unresolvable + cross-share-id для ОБОИХ путей, чтобы расхождение валило тест. Pros: дёшево. Cons: дубликат остаётся. **Рекомендация** Склоняюсь к Option 1 — ядровой security-инвариант, эквивалентный резолв уже существует в getSharedPage.

Ghost referenced this issue from a commit 2026-06-21 04:04:47 +03:00

refactor(share): single resolveReadableSharePage for the share access boundary (#92)

Ghost referenced this issue 2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

Ghost closed this issue 2026-06-21 14:10:34 +03:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

test/244-part-b

fix/255-ws-redis-adapter-leak

feat/251-intentional-clear

fix/252-e2e-open-handles

feat/184-autonomous-agent-runs

feat/221-image-captions

feat/git-sync

refactor/193-tool-spec-registry

fix/244-dataloss-bugs

fix/embeddings-reindex-progress

develop

feature/offline-sync

feat/229-catalog-yaml

feat/243-blob-sandbox

feat/228-inline-footnotes

fix/qa-ui-bugs-216-218

feature/agent-roles-catalog

fix/share-alias-rename

fix/ai-chat-empty-render

feat/191-chat-doc-binding

feat/201-temporary-notes

feat/198-interrupt-agent

feat/ai-chat-full-history

feat/199-ai-generate-title

feat/205-share-aliases

batch/issues-189-187-170

feat/170-mcp-test-button

feat/189-context-badge

feat/198-interrupt-agent-send-now

fix/issues-190-159

fix/ai-chat-new-chat-during-stream

fix/ai-chat-stream-perf

batch/issues-2026-06-25

feat/ai-chat-persistent-history

fix/ai-chat-copy-chat-wysiwyg

fix/ai-stream-reset-resilience

fix/ai-stream-undici-timeout

fix/footnote-review-1227-followup

fix/ai-chat-token-counter-realtime

docs/manual-qa-test-plan

v0.94.1

v0.94.0

v0.93.0

Labels

Clear labels

bug

Something isn't working

documentation

Improvements or additions to documentation

duplicate

This issue or pull request already exists

enhancement

New feature or request

epic

Large multi-phase effort spanning many changes

feature

New functionality request

good first issue

Good for newcomers

help wanted

Extra attention is needed

idea

Idea / proposal for discussion

invalid

This doesn't seem right

needs-human

эскалация: нужно решение человека

question

Further information is requested

refactor

Code cleanup / refactoring

review/approved

в последнем ревью нет открытых blocking-находок

review/changes-requested

последнее ревью оставило открытые blocking-находки

review/needs

head не ревьюился (head != reviewed_head)

security

Security / hardening issue

status/blocked

ждёт зависимость blocked_by

status/done

закрыто и проверено

status/in-progress

в активной работе (мягкая заявка)

status/ready

специфицировано, не заблокировано, ждёт исполнителя

test

Test coverage / test infrastructure

wontfix

This will not be worked on

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

agent_coder agent_reviewer vvzvlad

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: vvzvlad/gitmost#92