Un compte peut usurper un ancien compte supprimé avec le même username et accéder aux documents de l'ancien compte (#67) · Issues · indiehost / tech / plateforme liiibre

Un compte peut usurper un ancien compte supprimé avec le même username et accéder aux documents de l'ancien compte

Mutualisé et probablement instance dediée

Testé sur mutualisé
Forte probabilité de voir le même problème sur instance dédiée (à tester)

Description du bug

Une personne qui s'inscrirait avec le même username qu'un ancien compte supprimé va pouvoir accéder aux documents de l'ancien compte dans nuage. C'est un bug très préoccupant (!).

Reproduire le bug

Ouvrir un onglet privé et aller sur nuage.liiib.re
Créer un nouveau compte. J'ai pris comme username "maxime" dans mon cas, fort probable que ça puisse exister un jour. Et un mail bidon.
J'arrive dans nextcloud. Créer un document. Uploader des fichiers de différentes sortes.
Se déconnecter, fermer l'onglet privé.
Se connecter à la console admin du realm liiibre dans Keycloak, trouver le compte "maxime" et le supprimer
A cause du bug #64 aller également dans nuage et supprimer le compte "maxime" depuis le panneau admin nextcloud

A ce stade, le compte est censé être bien supprimé côté kc et nc et les documents liés au compte également.

Dans un nouvel onglet privé, aller sur nuage.liiib.re et créer un nouveau compte avec le même username "maxime"
Arriver dans nuage et constater que tous les documents sont toujours là et accessibles (!)

Comportement attendu

Les documents du compte supprimé devrait être supprimés également
On devrait arriver dans un espace vierge comme tout compte normalement créé

Contexte supplémentaire

Testé côté Rocketchat, avec le même username dans Kc et ensuite lors de la première connexion sur Rc (mais pas même email) et là tout se déroule comme attendu.

## Mutualisé et probablement instance dediée
- Testé sur mutualisé
- Forte probabilité de voir le même problème sur instance dédiée (à tester)

## Description du bug
Une personne qui s'inscrirait avec le même username qu'un ancien compte supprimé va pouvoir accéder aux documents de l'ancien compte dans nuage. C'est un bug très préoccupant (!).

## Reproduire le bug
1. Ouvrir un onglet privé et aller sur nuage.liiib.re
2. Créer un nouveau compte. J'ai pris comme username "maxime" dans mon cas, fort probable que ça puisse exister un jour. Et un mail bidon.
3. J'arrive dans nextcloud. Créer un document. Uploader des fichiers de différentes sortes.
4. Se déconnecter, fermer l'onglet privé.
5. Se connecter à la console admin du realm liiibre dans Keycloak, trouver le compte "maxime" et le supprimer
6. A cause du bug #64 aller également dans nuage et supprimer le compte "maxime" depuis le panneau admin nextcloud

A ce stade, le compte est censé être bien supprimé côté kc et nc et les documents liés au compte également.

7. Dans un nouvel onglet privé, aller sur nuage.liiib.re et créer un nouveau compte avec le même username "maxime"
8. Arriver dans nuage et constater que tous les documents sont toujours là et accessibles (!)

## Comportement attendu
- Les documents du compte supprimé devrait être supprimés également
- On devrait arriver dans un espace vierge comme tout compte normalement créé

## Contexte supplémentaire
- Testé côté Rocketchat, avec le même username dans Kc et ensuite lors de la première connexion sur Rc (mais pas même email) et là tout se déroule comme attendu.

Edited Jan 18, 2021 by Maxime Guedj - imacrea