arch/realtime-tree: единый restriction-aware emit + единый снапшот move-аудитории (emitTreeEvent дублирует emitCommentEvent; окно гонки на move) #93

New Issue

Ghost · 2026-06-21T02:33:15+03:00

Ghost commented

2026-06-21 02:33:15 +03:00

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж).

Область: apps/server/src/ws/ws.service.ts + ws-tree.service.ts

Наблюдение
Правка делает emitTreeEvent (ws.service.ts:82-103) побайтовой копией emitCommentEvent (50-71): идентичный резолв комнаты, кэш-гейт spaceHasRestrictions, hasRestrictedAncestor, fallback. Дополнительно restricted-move путь размазан по 3 методам (broadcastPageMoved → emitToAuthorizedUsers + emitDeleteToUnauthorized): два независимых fetchSockets/getUserIdsWithPageAccess с окном гонки между ними.

Значимость
Forward-looking, низкая вероятность, но высокая цена ровно для целевой угрозы (утечка ограниченного узла). Restriction-routing — тот код, где будущая правка опасна.

Опции

Option 1 (small): свести оба в один emitRestrictedAwareToSpace(spaceId, pageId, data); comment/tree — тонкие алиасы. Pros: один restriction-гейт. Cons: минимально.
Option 2 (medium): вычислять разбиение аудитории один раз (один fetchSockets + один getUserIdsWithPageAccess в broadcastPageMoved), слать move авторизованным и delete остальным из единого снапшота. Pros: убирает окно гонки move. Cons: рефактор move-пути.

Рекомендация
Для concurrency-heavy фичи с целью «не утекать ограниченные узлы» — Option 1 (единый emit) + Option 2 (единый снапшот move-аудитории) делают свойство безопасным конструктивно.

Связанные: #53

Найдено в multi-aspect code review (грань: architecture, forward-looking, не блокирует мерж). **Область:** apps/server/src/ws/ws.service.ts + ws-tree.service.ts **Наблюдение** Правка делает emitTreeEvent (ws.service.ts:82-103) побайтовой копией emitCommentEvent (50-71): идентичный резолв комнаты, кэш-гейт spaceHasRestrictions, hasRestrictedAncestor, fallback. Дополнительно restricted-move путь размазан по 3 методам (broadcastPageMoved → emitToAuthorizedUsers + emitDeleteToUnauthorized): два независимых fetchSockets/getUserIdsWithPageAccess с окном гонки между ними. **Значимость** Forward-looking, низкая вероятность, но высокая цена ровно для целевой угрозы (утечка ограниченного узла). Restriction-routing — тот код, где будущая правка опасна. **Опции** - *Option 1 (small)*: свести оба в один `emitRestrictedAwareToSpace(spaceId, pageId, data)`; comment/tree — тонкие алиасы. Pros: один restriction-гейт. Cons: минимально. - *Option 2 (medium)*: вычислять разбиение аудитории один раз (один fetchSockets + один getUserIdsWithPageAccess в broadcastPageMoved), слать move авторизованным и delete остальным из единого снапшота. Pros: убирает окно гонки move. Cons: рефактор move-пути. **Рекомендация** Для concurrency-heavy фичи с целью «не утекать ограниченные узлы» — Option 1 (единый emit) + Option 2 (единый снапшот move-аудитории) делают свойство безопасным конструктивно. **Связанные:** #53

Ghost referenced this issue from a commit

2026-06-21 04:04:47 +03:00

refactor(ws): single restriction-aware emit for tree + comment events (#93)

Ghost referenced this issue

2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

Ghost referenced this issue from a commit

2026-06-21 14:24:54 +03:00

refactor(ws): single-snapshot move audience to close the restricted-move race (#93)

Ghost referenced a pull request that will close this issue

2026-06-21 14:25:21 +03:00

chore: finish the 3 remaining open issues (#93 move-snapshot, #62 cap, #109 ru-RU i18n) #117