<div dir="ltr">The case I spotted yesterday was here: <a href="http://reviews.vapour.ws/r/3243/diff/1/?file=167369#file167369line41">http://reviews.vapour.ws/r/3243/diff/1/?file=167369#file167369line41</a><div><br></div><div>and in general:</div><div><br></div><div>  * seeing `_ common.Authorizer` in a parameter list is a sign you're DIW.</div><div>  * failing to check some auth property when creating the facade is a sign you're DIW.</div><div>  * failing to pass the auth on to the facade type itself *might* be OK, but should be viewed with some suspicion -- for example:</div><div>      * an environ provisioner may have wide-ranging powers, but that's no reason to let it see or modify container machines that are not its direct responsibility</div><div>      * right now, many user-facing facades don't need further authorization once they know it's an authenticated client, but that won't last forever</div><div><br></div><div>helpful?</div><div><br></div><div>Cheers</div><div>William</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 2, 2015 at 12:26 PM, roger peppe <span dir="ltr"><<a href="mailto:roger.peppe@canonical.com" target="_blank">roger.peppe@canonical.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="im HOEnZb">Could you link to the offending change(s) please, so we<br>
can see what doing it wrong looks like?<br>
<br>
On 2 December 2015 at 09:28, William Reade <<a href="mailto:william.reade@canonical.com">william.reade@canonical.com</a>> wrote:<br>
</span><div class="HOEnZb"><div class="h5">> I just noticed that the unitassigner facade-constructor drops the authorizer<br>
> on the floor; and I caught a similar case in a review yesterday (that had<br>
> already been LGTMed by someone else).<br>
><br>
> Doing that means that *any* api connection can use the thus-unprotected<br>
> facade -- clients, agents, and malicious code running in a compromised<br>
> machine and using the agent credentials. I don't think we have any APIs<br>
> where this is actually a good idea; the best I could say about any such case<br>
> is that it's not *actively* harmful *right now*. But big exploits are made<br>
> of little holes, let's make an effort not to open them in the first place.<br>
><br>
> Moonstone, please fix the unitassigner facade ASAP; everyone else, be told,<br>
> and keep an extra eye out for this issue in reviews :).<br>
><br>
> Cheers<br>
> William<br>
><br>
</div></div><div class="HOEnZb"><div class="h5">> --<br>
> Juju-dev mailing list<br>
> <a href="mailto:Juju-dev@lists.ubuntu.com">Juju-dev@lists.ubuntu.com</a><br>
> Modify settings or unsubscribe at:<br>
> <a href="https://lists.ubuntu.com/mailman/listinfo/juju-dev" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/juju-dev</a><br>
><br>
</div></div></blockquote></div><br></div>