U: U3 — hardening menor no fluxo de auth; backlog.
G: G1 — information disclosure menor (texto interno de exceção no detail).
Contexto (auditoria 2026-07-02)
Os endpoints de verificação do WebAuthn (verify_registration_response/verify_authentication_response) embrulham o texto cru da exceção da biblioteca no detail de um HTTP 400 (detail=f"Verification failed: {e!s}"). Isso pode vazar detalhe interno de validação ao cliente. Impacto baixo (fluxo de auth), mas evita-se refletir string interna de erro.
Fix recomendado
- Retornar um
detail genérico ("verification failed").
- Logar a exceção completa server-side (para diagnóstico).
Critérios de aceite
Milestone sugerido: v1.8.0 ou backlog.
Opened by Claude (readonly auditor) — Cursor implements.
U: U3 — hardening menor no fluxo de auth; backlog.
G: G1 — information disclosure menor (texto interno de exceção no
detail).Contexto (auditoria 2026-07-02)
Os endpoints de verificação do WebAuthn (
verify_registration_response/verify_authentication_response) embrulham o texto cru da exceção da biblioteca nodetailde um HTTP 400 (detail=f"Verification failed: {e!s}"). Isso pode vazar detalhe interno de validação ao cliente. Impacto baixo (fluxo de auth), mas evita-se refletir string interna de erro.Fix recomendado
detailgenérico ("verification failed").Critérios de aceite
detailgenérico nos endpoints de verify do WebAuthn.check-allverde.Milestone sugerido: v1.8.0 ou backlog.
Opened by Claude (readonly auditor) — Cursor implements.