Skip to content

[P3][security] api/webauthn_routes.py: HTTP 400 ecoa string de exceção da lib — retornar detail genérico, logar server-side #1141

Description

@FabioLeitao

U: U3 — hardening menor no fluxo de auth; backlog.
G: G1 — information disclosure menor (texto interno de exceção no detail).

Contexto (auditoria 2026-07-02)

Os endpoints de verificação do WebAuthn (verify_registration_response/verify_authentication_response) embrulham o texto cru da exceção da biblioteca no detail de um HTTP 400 (detail=f"Verification failed: {e!s}"). Isso pode vazar detalhe interno de validação ao cliente. Impacto baixo (fluxo de auth), mas evita-se refletir string interna de erro.

Fix recomendado

  • Retornar um detail genérico ("verification failed").
  • Logar a exceção completa server-side (para diagnóstico).

Critérios de aceite

  • detail genérico nos endpoints de verify do WebAuthn.
  • Exceção logada server-side.
  • Teste cobrindo o caminho de falha.
  • check-all verde.

Milestone sugerido: v1.8.0 ou backlog.

Opened by Claude (readonly auditor) — Cursor implements.

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions