You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
https://docs.altinn.studio//nb/app/development/process/tasks/signing/#konfigurere-hvor-signaturobjektet-skal-lagres
Hvis man har en signerings task, må man ha en datatype hvor signaturobjektet skal lagres. Denne datatypen skiller seg ikke fra andre datatyper, så sluttbrukersystem har mulighet til å laste opp data på denne datatypen. Det feiler om man prøver å laste opp noe annet en det som er tillatt i allowedContentTypes, men man kan lett komme seg rundt det om man sier at det man laster opp er av en type som er tillatt i header - content-type og content-disposition. Da kan man lastet opp hva man vi…
Om signering task er siste prosessteg før task end:
Process next med action sign → Ok, Appen går til process end.
Resultat av dette er at jeg har en instans som har gått til process end med to signaturobjekter, selv om det bare skal være tillatt med et. Det ene signaturobjektet inneholder i tillegg en xml...
Ønsker om endring
Vi må forhindre at sluttbruker har skrive-tilgang til signatur datatypen.
Hva vi kan gjøre:
Vi kan legge inn "allowedContributers": [ "org:dibk" ], for å forhindre andre en dibk å legge inn data. Det ser ut som sluttbruker fortsatt får gjort signering.
En ting jeg ikke har testet, men som jeg mistenker går, er om man har et signering task og neste steg ikke er end. Da vil man kanskje kunne gjøre en PUT på datatypen signering og erstatte signaturen med noe annet?....
Additional Information
No response
The text was updated successfully, but these errors were encountered:
Har dere en arkitekturskisse eller funksjonell beskrivelse av hvordan Altinn tenker seg at signering skal virke, også hvilken rettsvirkning en signering er tenkt å skulle ha og hvordan det sikres?
Den eneste dokumentasjon av signering jeg finner er denne: Signerings task – Altinn
veronikaandersen
changed the title
Forhindre at sluttbrukersystem laster opp signatur til datatype som skal inneholde signaturobjektet
Forhindre at sluttbrukersystem laster opp data til datatype som skal inneholde signaturobjektet
May 27, 2024
Vi skal starte på en del forbedringer rundt signering ila de neste sprintene, deriblant denne issuen. Vi har snakket noe om løsning, men vi kommer tilbake når vi har noe konkret
Description
https://docs.altinn.studio//nb/app/development/process/tasks/signing/#konfigurere-hvor-signaturobjektet-skal-lagres
Hvis man har en signerings task, må man ha en datatype hvor signaturobjektet skal lagres. Denne datatypen skiller seg ikke fra andre datatyper, så sluttbrukersystem har mulighet til å laste opp data på denne datatypen. Det feiler om man prøver å laste opp noe annet en det som er tillatt i allowedContentTypes, men man kan lett komme seg rundt det om man sier at det man laster opp er av en type som er tillatt i header - content-type og content-disposition. Da kan man lastet opp hva man vi…
Om signering task er siste prosessteg før task end:
TT02 instans: https://dibk.apps.tt02.altinn.no/dibk/ig-v3/instances/50293843/1482152c-80ac-4a35-8e91-e1d402b25b0f
Steg for steg - fra sluttbrukersystem sin side..
Signatur
Content-type: application/json
Content-Disposition: attachment; filename=signatur.json
Resultat av dette er at jeg har en instans som har gått til process end med to signaturobjekter, selv om det bare skal være tillatt med et. Det ene signaturobjektet inneholder i tillegg en xml...
Ønsker om endring
Hva vi kan gjøre:
"allowedContributers": [ "org:dibk" ],
for å forhindre andre en dibk å legge inn data. Det ser ut som sluttbruker fortsatt får gjort signering.... Men dette er kanskje noe Altinn bør ta seg av, så vi slipper å måtte konfigurere dette for alle apper som har signering?
En ting jeg ikke har testet, men som jeg mistenker går, er om man har et signering task og neste steg ikke er end. Da vil man kanskje kunne gjøre en PUT på datatypen
signering
og erstatte signaturen med noe annet?....Additional Information
No response
The text was updated successfully, but these errors were encountered: