home_hub

gilles/home_hub

Fork 0

Commit Graph

Author	SHA1	Message	Date
gilles	24598c836b	fix(mcp): comparaison constante hmac + rejet si clé vide + WWW-Authenticate Fixes deux vulnérabilités critiques en sécurité: 1. Timing attack — remplace la comparaison naïve `!=` par `hmac.compare_digest()` pour éviter les attaques temporelles (constant-time comparison). 2. Clé vide acceptée — ajoute le check `not settings.mcp_api_key` pour rejeter (401) TOUS les requêtes `/mcp` si MCP_API_KEY n'est pas configurée, empêchant l'accès unauthenticated silencieux. Bonus: ajoute l'en-tête `www-authenticate: Bearer` (RFC 9110). Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 22:49:45 +02:00
gilles	cc8fc5ba3f	feat(mcp): middleware ASGI Bearer token pour /mcp*	2026-05-25 22:47:24 +02:00

Author

SHA1

Message

Date

gilles

24598c836b

fix(mcp): comparaison constante hmac + rejet si clé vide + WWW-Authenticate

Fixes deux vulnérabilités critiques en sécurité:

1. **Timing attack** — remplace la comparaison naïve `!=` par
   `hmac.compare_digest()` pour éviter les attaques temporelles
   (constant-time comparison).

2. **Clé vide acceptée** — ajoute le check `not settings.mcp_api_key`
   pour rejeter (401) TOUS les requêtes `/mcp` si MCP_API_KEY n'est
   pas configurée, empêchant l'accès unauthenticated silencieux.

Bonus: ajoute l'en-tête `www-authenticate: Bearer` (RFC 9110).

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-05-25 22:49:45 +02:00

gilles

cc8fc5ba3f

feat(mcp): middleware ASGI Bearer token pour /mcp*

2026-05-25 22:47:24 +02:00

2 Commits