|
|
@@ -39,21 +39,6 @@ |
|
|
- [ ] サイズ上限・タイムアウト・content-type 検査を追加する
|
|
|
- [ ] サイズ上限・タイムアウト・content-type 検査を追加する
|
|
|
- [ ] 異常時に内部例外メッセージを返さない
|
|
|
- [ ] 異常時に内部例外メッセージを返さない
|
|
|
|
|
|
|
|
|
### 3. [P0] Material 作成 API を member 以上に制限する
|
|
|
|
|
|
|
|
|
|
|
|
**種別**: security / bug
|
|
|
|
|
|
|
|
|
|
|
|
**対象**
|
|
|
|
|
|
- `backend/app/controllers/materials_controller.rb`
|
|
|
|
|
|
|
|
|
|
|
|
**背景 / 問題**
|
|
|
|
|
|
MaterialsController#create は current_user があれば guest でも素材を作成できる。update/destroy は member 以上なので権限ポリシーが食い違っている。公開後はスパム素材の直通穴になる。
|
|
|
|
|
|
|
|
|
|
|
|
**完了条件**
|
|
|
|
|
|
- [ ] create も current_user.gte_member? を要求する
|
|
|
|
|
|
- [ ] guest 作成が 403 になる request spec を追加する
|
|
|
|
|
|
- [ ] 既存 UI 側も権限に応じて投稿導線を隠す
|
|
|
|
|
|
|
|
|
|
|
|
### 4. [P0] PATCH /tags/:id でシステムタグ名を変更できる抜け道を塞ぐ
|
|
|
### 4. [P0] PATCH /tags/:id でシステムタグ名を変更できる抜け道を塞ぐ
|
|
|
|
|
|
|
|
|
**種別**: bug
|
|
|
**種別**: bug
|
|
|
|
