gilles 24598c836b fix(mcp): comparaison constante hmac + rejet si clé vide + WWW-Authenticate ...

Fixes deux vulnérabilités critiques en sécurité:

1. **Timing attack** — remplace la comparaison naïve `!=` par
   `hmac.compare_digest()` pour éviter les attaques temporelles
   (constant-time comparison).

2. **Clé vide acceptée** — ajoute le check `not settings.mcp_api_key`
   pour rejeter (401) TOUS les requêtes `/mcp` si MCP_API_KEY n'est
   pas configurée, empêchant l'accès unauthenticated silencieux.

Bonus: ajoute l'en-tête `www-authenticate: Bearer` (RFC 9110).

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-05-25 22:49:45 +02:00

..

alembic

feat(shopping): tags sur les articles du catalogue

2026-05-25 12:57:25 +02:00

app

fix(mcp): comparaison constante hmac + rejet si clé vide + WWW-Authenticate

2026-05-25 22:49:45 +02:00

tests

feat(todos): domains[], photo_path, gps_lat/lng — modèle, schemas, API, tri par date

2026-05-24 16:04:21 +02:00

alembic.ini

feat: migration initiale — schémas todos/shopping/notes et toutes les tables

2026-05-24 05:02:24 +02:00

Dockerfile

feat(notes): support vidéo + transcodage audio AAC universel

2026-05-25 16:31:05 +02:00

pytest.ini

chore: dockerfile backend et dépendances python

2026-05-24 04:48:27 +02:00

requirements.txt

fix(mcp): contrainte version mcp<2.0 + MCP_API_KEY dans .env.example

2026-05-25 22:46:36 +02:00