maximus/Simpl-Resultat
1
0
Fork 0
Code Issues 4 Pull requests Projects Releases 19 Packages Wiki Activity Actions

[#3] Intégrité de subscription_status (anti-tampering gating licence) #80

New issue
Closed
opened 2026-04-13 22:39:17 +00:00 by maximus · 0 comments
maximus commented 2026-04-13 22:39:17 +00:00
Owner
Copy link

Même après la migration des tokens vers le keychain (#78), account.json reste en clair sur disque et contient subscription_status utilisé par le gating de licence. Un malware local peut écrire "active" dedans pour contourner le paywall sans jamais toucher le keychain. Cette issue ferme ce trou.

Spec : spec-issue-66-oauth-keychain.md
Parent : #66
Dépendances : #78 (doit partager la même architecture que le nouveau token_store)
Ref : CWE-345 (Insufficient Verification of Data Authenticity)

Options (à trancher en début d'issue)

Option A — Re-validation systématique (préférée)
À chaque décision de gating (entitlements, auto-updater, features Pro), appeler refresh_auth_token() si le cache last_check a plus de N minutes, et trust uniquement la réponse de Logto fraîche. Le cache sur disque sert au démarrage hors-ligne mais n'est jamais source de vérité pour une action de gating.

Option B — Signature HMAC du cache
Signer account.json avec une clé HMAC stockée dans le keychain. Rejette toute modification manuelle.

Option C — Migrer account.json dans le keychain
Étendre le scope du #78 pour inclure account.json. Simple mais augmente la taille du blob keychain.

Tâches (Option A — à ajuster selon le choix)

  • Identifier tous les call sites qui lisent subscription_status depuis get_account_info pour prendre une décision de gating
  • Séparer get_account_info (affichage UI — OK de trust le cache) de get_subscription_status_verified (gating — force une call Logto si cache > 10min)
  • Nouvelle commande Tauri check_entitlement_verified() qui appelle toujours refresh_auth_token avant de retourner
  • Dans l'auto-updater gating et les features Pro, utiliser la commande vérifiée au lieu du cache
  • Graceful degradation : si offline, retomber sur le cache signé/horodaté avec un grace period (ex. 7 jours)

Critères d'acceptation

  • Écrire manuellement "active" dans account.json ne débloque aucune feature payante
  • L'app reste fonctionnelle offline pendant 7 jours avec un entitlement récemment vérifié
  • ADR ou section dans 0006-oauth-tokens-keychain.md documente l'option choisie
Même après la migration des tokens vers le keychain (#78), `account.json` reste en clair sur disque et contient `subscription_status` utilisé par le gating de licence. Un malware local peut écrire `"active"` dedans pour contourner le paywall **sans jamais toucher le keychain**. Cette issue ferme ce trou. **Spec :** `spec-issue-66-oauth-keychain.md` **Parent :** #66 **Dépendances :** #78 (doit partager la même architecture que le nouveau token_store) **Ref :** CWE-345 (Insufficient Verification of Data Authenticity) ## Options (à trancher en début d'issue) **Option A — Re-validation systématique (préférée)** À chaque décision de gating (entitlements, auto-updater, features Pro), appeler `refresh_auth_token()` si le cache `last_check` a plus de N minutes, et trust uniquement la réponse de Logto fraîche. Le cache sur disque sert au démarrage hors-ligne mais n'est jamais source de vérité pour une action de gating. **Option B — Signature HMAC du cache** Signer `account.json` avec une clé HMAC stockée dans le keychain. Rejette toute modification manuelle. **Option C — Migrer account.json dans le keychain** Étendre le scope du #78 pour inclure account.json. Simple mais augmente la taille du blob keychain. ## Tâches (Option A — à ajuster selon le choix) - [ ] Identifier tous les call sites qui lisent `subscription_status` depuis `get_account_info` pour prendre une décision de gating - [ ] Séparer `get_account_info` (affichage UI — OK de trust le cache) de `get_subscription_status_verified` (gating — force une call Logto si cache > 10min) - [ ] Nouvelle commande Tauri `check_entitlement_verified()` qui appelle toujours `refresh_auth_token` avant de retourner - [ ] Dans l'auto-updater gating et les features Pro, utiliser la commande vérifiée au lieu du cache - [ ] Graceful degradation : si offline, retomber sur le cache signé/horodaté avec un grace period (ex. 7 jours) ## Critères d'acceptation - [ ] Écrire manuellement `"active"` dans `account.json` ne débloque aucune feature payante - [ ] L'app reste fonctionnelle offline pendant 7 jours avec un entitlement récemment vérifié - [ ] ADR ou section dans `0006-oauth-tokens-keychain.md` documente l'option choisie
maximus added this to the spec-oauth-keychain milestone 2026-04-13 22:39:17 +00:00
maximus added the
status:ready
type:security
source:human
 labels 2026-04-13 22:39:17 +00:00
maximus added
status:in-progress
 and removed
status:ready
 labels 2026-04-14 00:47:36 +00:00
maximus added
status:review
 and removed
status:in-progress
 labels 2026-04-14 12:08:55 +00:00
maximus added
status:approved
 and removed
status:review
 labels 2026-04-14 12:10:39 +00:00
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
issue-67-feedback-widget
issue-97-cartes-page
issue-96-compare-refactor
issue-51-compte-maximus-oauth
issue-46-license-commands-entitlements
issue-48-gate-auto-updates
issue-47-license-ui-card
fix/simpl-resultat-54-argon2id-pin
fix/simpl-resultat-59-bump-vite
issue-43-update-picomatch
fix/simpl-resultat-41-category-time-report-filter
fix/simpl-resultat-31-dashboard-month-dropdown
fix/simpl-resultat-29-budget-visual-adjustments
fix/simpl-resultat-23-dashboard-category-ordering
fix/simpl-resultat-16-prev-year-budget
fix/simpl-resultat-19-tooltip-transparency
fix/simpl-resultat-17-remove-piechart-title
fix/simpl-resultat-16-budget-previous-year
v0.8.2
v0.8.1
v0.8.0
v0.7.4
v0.7.3
v0.7.2
v0.7.1
v0.7.0
v0.6.7
v0.6.6
v0.6.5
v0.6.4
v0.6.3
v0.6.2
v0.6.1
v0.6.0
v0.5.2
v0.5.0
v0.4.2
v0.4.0
v0.3.11
v0.3.10
v0.3.9
v0.3.8
v0.3.7
v0.3.6
v0.3.5
v0.3.4
v0.3.3
v0.3.2
v0.3.1
v0.3.0
v0.2.12
v0.2.11
v0.2.10
v0.2.9
v0.2.8
v0.2.7
v0.2.6
v0.2.5
v0.2.4
v0.2.3
v0.2.2
v0.2.1
v0.2.0
v0.1.2
v0.1.1
v0.1.0
Labels
Clear labels   
source:analyste

Créée par le Super-Analyste

  
source:defenseur

Créée par l Escouade Défenseur

  
source:human

Créée par un humain

  
source:medic

Créée par le Medic (auto-détection)

  
status:approved

PR approuvée, prête à merger

  
status:blocked

Bloquée (question, dépendance, clarification)

  
status:in-progress

Un agent (Medic/Dev) travaille dessus

  
status:needs-fix

Reviewer demande des corrections

  
status:ready

Analysée et documentée, prête à prendre

  
status:review

PR créée, en attente du Reviewer

  
status:triage

Nouvelle issue, pas encore analysée

  
type:bug

Correction de bug → Medic

  
type:feature

Nouvelle fonctionnalité → Dev

  
type:infra

Config, CI/CD, déploiement → Dev

  
type:refactor

Refactoring / amélioration technique → Dev

  
type:schema

Modèle de données / migrations → Dev

  
type:security

Issue de sécurité → Medic ou Dev

No labels
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
Milestone
Clear milestone
No items
No milestone
spec-oauth-keychain
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#80
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?