fet: update RLS

Author: scriptura

sandbox/postgres/architecture_decision_records.md

@@ -179,7 +179,7 @@ Un audit a identifié un gap structurel : `GRANT SELECT ON ALL TABLES` en Sectio
 donnait à `marius_user` un accès direct aux tables physiques sensibles, contournant
 les vues contrôlées. Le RLS sur 3 tables ne fermait pas ce vecteur.
 
-Dix tables reçoivent un `REVOKE SELECT FROM marius_user` en Section 13 :
+Dix tables et une vue reçoivent un `REVOKE SELECT FROM marius_user` en Section 13 :
 
 | Table                         | Données sensibles                          | Interface contrôlée       |
 | ----------------------------- | ------------------------------------------ | ------------------------- |
@@ -193,6 +193,7 @@ Dix tables reçoivent un `REVOKE SELECT FROM marius_user` en Section 13 :
 | `content.body`                | Corps HTML complet de tous docs            | `content.v_article`       |
 | `content.revision`            | Snapshots éditoriaux complets              | `content.v_article`       |
 | `org.org_legal`               | DUNS, SIRET, TVA — identifiants légaux     | `marius_admin` uniquement |
+| `identity.v_auth` (vue)       | Hash argon2id via BYPASSRLS vue            | Middleware auth (postgres) |
 
 **Deux mécanismes distincts, à ne pas confondre.**
 
@@ -223,6 +224,7 @@ mécanismes de nature différente :
 | `content.body`                 | `REVOKE SELECT`          | Erreur 42501 — accès refusé                       |
 | `content.revision`             | `REVOKE SELECT`          | Erreur 42501 — accès refusé                       |
 | `org.org_legal`                | `REVOKE SELECT`          | Erreur 42501 — accès refusé                       |
+| `identity.v_auth` (vue)        | `REVOKE SELECT`          | Erreur 42501 — accès refusé                       |
 | `content.core`                 | RLS (politiques actives) | Résultat filtré selon GUC                         |
 | `commerce.transaction_core`    | RLS (politiques actives) | Résultat filtré selon GUC                         |
 | `identity.account_core`        | RLS (politiques actives) | Résultat filtré selon GUC                         |
@@ -234,7 +236,7 @@ Core n'est pas évalué sur le chemin de lecture via ces vues. Le filtre d'accè
 est implémenté dans le WHERE de chaque vue concernée, via les helpers GUC. Le RLS
 physique reste actif pour les accès directs aux tables Core (défense en profondeur).
 
-**Conséquence pratique** : les tables avec `REVOKE SELECT` n'ont pas de politique
+**Conséquence pratique** : les tables et vues avec `REVOKE SELECT` n'ont pas de politique
 RLS et n'en ont pas besoin — elles sont structurellement inaccessibles. Ajouter
 du RLS dessus serait redondant et trompeur (laisserait croire que le RLS est le
 mécanisme protecteur alors que c'est le REVOKE).
@@ -305,11 +307,24 @@ ne soit jamais évalué. L'accès applicatif est contraint aux vues sémantiques
 `content.v_article_list` et `content.v_article`, qui imposent la jointure sur
 `content.core` filtré par RLS.
 
+**Extension aux vues (audit RLS global).**
+Le même vecteur s'applique aux vues owned par `postgres` (BYPASSRLS) : une vue
+peut lire des tables sous REVOKE SELECT et en exposer les données sans filtre.
+`identity.v_auth` illustrait ce cas — la vue exposait `password_hash` à tout
+`marius_user` en contournant le REVOKE sur `identity.auth`. Correction :
+`REVOKE SELECT ON identity.v_auth FROM marius_user`.
+`identity.v_person` illustre un second vecteur : email et phone issus de
+`identity.person_contact` (REVOKE'd) étaient projetés sans filtre. Correction :
+exclusion des colonnes PII de la projection de la vue.
+
 **Invariant de maintenance.**
 Lors de tout ajout d'un composant satellite dans un schéma dont le Core est sous
 RLS, le `GRANT SELECT` hérité de `GRANT SELECT ON ALL TABLES` doit être
 immédiatement suivi d'un `REVOKE SELECT` ciblé ou d'une politique RLS dédiée.
 L'absence de protection est silencieuse — PostgreSQL n'émet aucun avertissement.
+La même vérification s'applique aux vues : toute vue projetant des données issues
+d'une table sous REVOKE SELECT doit recevoir soit un REVOKE SELECT propre, soit
+exclure les colonnes sensibles de sa projection.
 
 ### Invariant 2 — Security context des vues et responsabilité du contrôle d'accès
 
@@ -475,6 +490,25 @@ publier un article mais pas créer le tag manquant pour l'indexer. `contributor`
 `author` ne reçoivent pas `manage_tags` — la taxonomie est un domaine structurel
 distinct de la création de contenu.
 
+### Bits sans enforcement moteur (signaux applicatifs)
+
+Neuf bits sont définis dans `identity.permission_bit` mais ne font l'objet d'aucun
+guard AOT ni politique RLS dans ce blueprint. Leur enforcement est délégué à la couche
+applicative (middleware, panneau d'administration). Cette délégation est intentionnelle
+dans tous les cas ci-dessous.
+
+| Bit | Valeur | Motif de la délégation applicative |
+| --- | ------ | ---------------------------------- |
+| `access_admin` (0)     |       1 | Accès au panneau admin — notion applicative pure, pas de table moteur associée |
+| `edit_comments` (6)    |      64 | Pas de procédure `edit_comment` dans ce blueprint ; DML révoqué sur `content.comment` (ADR-020) |
+| `delete_comments` (7)  |     128 | Même motif que `edit_comments` |
+| `manage_groups` (9)    |     512 | Aucune procédure de gestion des groupes dans ce blueprint — réservé pour usage futur |
+| `manage_contents` (10) |    1024 | Uniquement détenu par `administrator`, qui possède déjà `edit_others_contents`. Bit sémantiquement distinct (accès section admin éditoriale) mais sans frontière de privilège moteur supplémentaire |
+| `manage_menus` (12)    |    4096 | Aucune table de menus dans ce blueprint — réservé pour usage futur |
+| `upload_files` (13)    |    8192 | Contrôle délégué au service de stockage (S3/CDN) — le moteur PostgreSQL ne gère pas les uploads |
+| `can_read` (14)        |   16384 | Bit de présence minimale ; les données publiques sont lisibles sans RLS — pas de guard redondant |
+| `export_data` (20)     | 1048576 | Aucune procédure d'export dans ce blueprint — réservé pour jobs ETL/RGPD futurs |
+
 ---
 
 ## ADR-005 — Fragmentation ECS : SoA en lieu de AoS

sandbox/postgres/master_schema_ddl.pgsql

@@ -1656,7 +1656,15 @@ WHERE (
   OR (identity.rls_auth_bits() & 256) = 256    -- manage_users
 );
 
--- IDENTITY : v_person — schema.org/Person (profil public complet)
+-- IDENTITY : v_person — schema.org/Person (profil public)
+-- Colonnes PII retirées de la projection (audit RLS global) :
+--   email, phone/telephone, fax — REVOKE SELECT sur identity.person_contact ;
+--   la vue étant owned par postgres (BYPASSRLS), elle pouvait lire person_contact
+--   malgré le REVOKE, exposant email/téléphone à tout marius_user.
+--   url (site web) conservé : donnée de contact intentionnellement publique.
+--   address_id (place_id) conservé : référence géographique, pas de PII directe.
+-- Accès aux données de contact (email, phone) : réservé aux sessions manage_users
+--   via connexion marius_admin ou procédure SECURITY DEFINER dédiée.
 CREATE VIEW identity.v_person AS
 SELECT
   e.id                     AS identifier,
@@ -1673,8 +1681,6 @@ SELECT
   pb.birth_place_id,
   pb.death_date,
   pb.death_place_id,
-  pc.email,
-  pc.phone                 AS telephone,
   pc.url,
   pc.place_id              AS address_id,
   pco.media_id             AS image_id,
@@ -1996,6 +2002,14 @@ REVOKE SELECT ON commerce.transaction_item FROM marius_user;
 -- que rls_core_select ne soit jamais évalué.
 -- Interface contrôlée : content.v_article_list, content.v_article.
 
+-- Gap documenté et accepté : content.content_to_tag et content.content_to_media
+-- sont accessibles en SELECT direct (pas de REVOKE, pas de RLS propre). Un SELECT
+-- sur ces tables de liaison révèle quels tags/médias sont associés à des brouillons.
+-- Les tags eux-mêmes sont publics — seule la liaison brouillon+tag est exposée, pas
+-- le contenu du brouillon. Risque évalué faible. Le correctif (REVOKE) casserait
+-- v_tag_tree (article_count via content_to_tag) sans gain de sécurité significatif.
+-- Référence : audit RLS global, ADR-029 invariant 1 note de limitation.
+
 -- content.identity : headline, slug, description — métadonnées de tous les documents.
 REVOKE SELECT ON content.identity FROM marius_user;
 
@@ -2010,6 +2024,13 @@ REVOKE SELECT ON content.revision FROM marius_user;
 --   ADR-029 inv.1 : satellite d'org.org_core, accessible directement sans ce REVOKE.
 REVOKE SELECT ON org.org_legal FROM marius_user;
 
+-- identity.v_auth : hash argon2id, is_banned, role_id — interface d'authentification.
+--   Usage réservé au middleware d'authentification via connexion postgres ou fonction
+--   SECURITY DEFINER dédiée. La vue étant owned par postgres (BYPASSRLS), elle lit
+--   identity.auth malgré le REVOKE SELECT sur la table physique. Sans ce REVOKE sur
+--   la vue, tout marius_user peut lire les hashes de mots de passe de tous les comptes.
+REVOKE SELECT ON identity.v_auth FROM marius_user;
+
 -- USAGE séquences : permet currval() et inspection — les nextval() des procédures
 -- passent via SECURITY DEFINER (owner = postgres) et n'en ont pas besoin.
 GRANT USAGE ON ALL SEQUENCES IN SCHEMA identity  TO marius_user;
@@ -2175,8 +2196,9 @@ ALTER PROCEDURE commerce.create_transaction_item(integer, integer, integer)
 -- en tant que postgres et doivent pouvoir écrire sans restriction (ADR-020).
 -- Le RLS sécurise le chemin de LECTURE (SELECT sur vues par marius_user).
 -- Les tables les plus sensibles (identity.auth, person_contact, transaction_payment,
--- transaction_delivery) ont vu leur SELECT révoqué en Section 13 : le RLS est une
--- défense complémentaire, pas le seul verrou sur ces données.
+-- transaction_delivery) ont vu leur SELECT révoqué en Section 13. La vue identity.v_auth
+-- a également un REVOKE SELECT (audit RLS global) : password_hash ne doit jamais être
+-- accessible à marius_user, même via la vue. Le RLS est une défense complémentaire.
 -- ==============================================================================
 
 -- Helper functions — évitent de répéter le COALESCE/casting dans chaque politique.

sandbox/postgres/tests/01_schema_and_security.sql

@@ -14,7 +14,7 @@
 
 BEGIN;
 
-SELECT plan(42);
+SELECT plan(46);
 
 
 -- ============================================================
@@ -312,6 +312,43 @@ SELECT throws_ok(
 RESET ROLE;
 
 
+
+SELECT ok(
+  COALESCE((
+    SELECT p.prosecdef FROM pg_proc p
+    JOIN   pg_namespace n ON n.oid = p.pronamespace
+    WHERE  n.nspname = 'identity' AND p.proname = 'anonymize_person' AND p.prokind = 'p'
+  ), false),
+  'identity.anonymize_person : SECURITY DEFINER (ADR-020)'
+);
+
+SELECT ok(
+  COALESCE((
+    SELECT p.prosecdef FROM pg_proc p
+    JOIN   pg_namespace n ON n.oid = p.pronamespace
+    WHERE  n.nspname = 'org' AND p.proname = 'add_organization_to_hierarchy' AND p.prokind = 'p'
+  ), false),
+  'org.add_organization_to_hierarchy : SECURITY DEFINER (ADR-020)'
+);
+
+SELECT ok(
+  COALESCE((
+    SELECT p.prosecdef FROM pg_proc p
+    JOIN   pg_namespace n ON n.oid = p.pronamespace
+    WHERE  n.nspname = 'content' AND p.proname = 'add_tag_to_document' AND p.prokind = 'p'
+  ), false),
+  'content.add_tag_to_document : SECURITY DEFINER (ADR-020)'
+);
+
+SELECT ok(
+  COALESCE((
+    SELECT p.prosecdef FROM pg_proc p
+    JOIN   pg_namespace n ON n.oid = p.pronamespace
+    WHERE  n.nspname = 'content' AND p.proname = 'remove_tag_from_document' AND p.prokind = 'p'
+  ), false),
+  'content.remove_tag_from_document : SECURITY DEFINER (ADR-020)'
+);
+
 -- ============================================================
 -- TRIGGERS modified_at — cohérence des métadonnées temporelles
 --

sandbox/postgres/tests/06_rls_policies.sql

@@ -32,13 +32,14 @@
 --   ADR-020 rev. — H1-H4 : add_tag_to_document / remove_tag_from_document
 --   Audit org   — I1-I5 : schéma org (REVOKE legal, guard create_organization, hiérarchie)
 --   Perm audit  — moderator 124990→124990 (+manage_tags=2048)
+--   Audit RLS global — J1-J3 : v_auth REVOKE, v_person no PII, content_to_tag gap note
 -- ==============================================================================
 
 \set ON_ERROR_STOP 1
 
 BEGIN;
 
-SELECT plan(45);
+SELECT plan(48);
 
 
 -- ============================================================
@@ -678,6 +679,59 @@ DELETE FROM org.org_identity  WHERE entity_id = current_setting('test.org_id')::
 DELETE FROM org.org_core      WHERE entity_id = current_setting('test.org_id')::INT;
 DELETE FROM org.entity        WHERE id        = current_setting('test.org_id')::INT;
 
+
+-- ============================================================
+-- SECTION J — Audit RLS global : fixes v_auth et v_person
+-- ============================================================
+
+-- ── J1 : identity.v_auth inaccessible à marius_user (REVOKE SELECT sur la vue)
+-- La vue lisait identity.auth (REVOKE'd) via BYPASSRLS postgres.
+-- Sans REVOKE sur la vue, password_hash était lisible à tout marius_user.
+SELECT set_config('marius.user_id',   '1', true);
+SELECT set_config('marius.auth_bits', '2097151', true);
+SET LOCAL ROLE marius_user;
+
+SELECT throws_ok(
+  $$SELECT password_hash FROM identity.v_auth LIMIT 1$$,
+  '42501', NULL,
+  'REVOKE SELECT : identity.v_auth inaccessible à marius_user (password_hash protégé)'
+);
+
+RESET ROLE;
+
+
+-- ── J2 : identity.v_person ne projette pas email ni téléphone
+-- Colonnes PII issues de identity.person_contact (REVOKE'd) retirées de la projection.
+SET LOCAL ROLE marius_user;
+
+SELECT ok(
+  NOT EXISTS (
+    SELECT 1 FROM information_schema.columns
+    WHERE table_schema = 'identity'
+      AND table_name   = 'v_person'
+      AND column_name  IN ('email', 'telephone', 'phone')
+  ),
+  'Vue v_person : colonnes PII (email, telephone) absentes de la projection'
+);
+
+RESET ROLE;
+
+
+-- ── J3 : identity.v_person conserve url (donnée de contact publique)
+SET LOCAL ROLE marius_user;
+
+SELECT ok(
+  EXISTS (
+    SELECT 1 FROM information_schema.columns
+    WHERE table_schema = 'identity'
+      AND table_name   = 'v_person'
+      AND column_name  = 'url'
+  ),
+  'Vue v_person : url (site web public) conservé dans la projection'
+);
+
+RESET ROLE;
+
 SELECT * FROM finish();
 ROLLBACK;