fix: security enhancement

less permissive file permissions, t/o for requests etc etc

Author: leonpwd

Dockerfile

@@ -7,21 +7,23 @@ ENV TZ=Europe/Paris
 WORKDIR /app
 
 # Crée l'utilisateur avant de faire le chown
-RUN adduser --disabled-password --gecos "" appuser
+RUN adduser --disabled-password --gecos "" --shell /sbin/nologin appuser
 
 # Création du dossier /config avec les bonnes permissions pour appuser
 RUN mkdir -p /config && chown -R appuser /app /config
 
 COPY requirements.txt .
-RUN pip install --no-cache-dir -r requirements.txt
+RUN pip install --no-cache-dir --require-hashes -r requirements.txt
 
 COPY . .
 
 COPY entrypoint.sh /entrypoint.sh
-RUN chmod +x /entrypoint.sh
+RUN chmod +x /entrypoint.sh && chmod 0755 /entrypoint.sh
 
 RUN apk add --no-cache su-exec
 
+USER appuser
+
 ENTRYPOINT ["/entrypoint.sh"]
 CMD ["python", "src/main.py"]
 LABEL org.opencontainers.image.source="https://github.com/leonpwd/NotifyNotes"

README.md

@@ -77,6 +77,20 @@ NTFY_URL=https://ntfy.sh/mon-topic
 LOG_LEVEL=DEBUG
 ```
 
+### Installation locale
+
+```bash
+# Créer un environnement virtuel
+python3 -m venv venv
+source venv/bin/activate
+
+# Installer les dépendances avec vérification des hashes
+pip install --no-cache-dir --require-hashes -r requirements.txt
+
+# Lancer le script
+python src/main.py
+```
+
 ## 🤝 Contribuer
 
 Contributions bienvenues ! Ouvrez une issue ou une pull request.

entrypoint.sh

@@ -1,8 +1,14 @@
 #!/bin/sh
 # filepath: entrypoint.sh
 
-# Changer le propriétaire du dossier monté
-chown -R 1000:1000 /config
+set -e
 
-# Exécuter l’application avec l’utilisateur non-root
-exec su-exec 1000:1000 "$@"
+# Récupérer l'UID/GID de appuser dynamiquement
+APPUSER_UID=$(id -u appuser 2>/dev/null || echo 1000)
+APPUSER_GID=$(id -g appuser 2>/dev/null || echo 1000)
+
+# Changer le propriétaire du dossier monté avec les bonnes permissions
+chown -R ${APPUSER_UID}:${APPUSER_GID} /config
+
+# Exécuter l'application avec l'utilisateur non-root
+exec su-exec ${APPUSER_UID}:${APPUSER_GID} "$@"

requirements.txt

@@ -13,6 +13,8 @@ def save_notes_json(data, filepath):
     data.replace('�', 'é').replace('é', 'é').replace('è', 'è').replace('�', 'Á')
     with open(filepath, "w", encoding="utf-8") as f:
         json.dump(data, f, ensure_ascii=False, indent=2)
+    # Restreindre les permissions du fichier JSON (lecture/écriture propriétaire uniquement)
+    os.chmod(filepath, 0o600)
 
 def find_new_notes(old_notes, new_notes):
     changes = []

src/compare_json.py

@@ -1,8 +1,14 @@
 import os
 import random
+import re
 
 ERROR_HASH = "9c287ec0f172e07215c5af2f96445968c266bcc24519ee0cf70f43f178fa613e"
 
+def validate_ntfy_url(url):
+    """Valider le format d'une URL ntfy"""
+    pattern = r'^https?://[a-zA-Z0-9][a-zA-Z0-9\-\.]*\.[a-zA-Z]{2,}/[a-zA-Z0-9_\-]+$'
+    return re.match(pattern, url) is not None
+
 #* Activer ou non le dotenv si le fichier .env est présent
 if os.path.exists(".env"):
     try:
@@ -46,13 +52,22 @@
 #? Endpoint de notification NTFY
 NTFY_URL = os.getenv("NTFY_URL") 
 if NTFY_URL:
+    if not validate_ntfy_url(NTFY_URL):
+        print("Erreur: L'URL NTFY est invalide. Format attendu: https://domain.com/topic")
+        exit(1)
     print("URL ntfy custom utilisée :", NTFY_URL,"\n")
     NTFY_URL_LOCAL_FALLBACK = os.getenv("NTFY_URL_LOCAL_FALLBACK", None)
+    if NTFY_URL_LOCAL_FALLBACK and not validate_ntfy_url(NTFY_URL_LOCAL_FALLBACK):
+        print("Erreur: L'URL NTFY_LOCAL_FALLBACK est invalide.")
+        exit(1)
 else:
     # Si pas de variable d'env, on regarde dans le fichier STORAGE_FILE_URL
     if os.path.exists(STORAGE_FILE_URL):
         with open(STORAGE_FILE_URL, "r") as f:
             NTFY_URL = f.read().strip()
+        if not validate_ntfy_url(NTFY_URL):
+            print("Erreur: L'URL NTFY stockée est invalide. Supprimez le fichier et relancez.")
+            exit(1)
         print("URL ntfy récupérée depuis le fichier :", NTFY_URL,"\n")
         NTFY_AUTH = False
         auth = None
@@ -62,6 +77,7 @@
         NTFY_URL = f"https://ntfy.sh/notes-{random_suffix}"
         with open(STORAGE_FILE_URL, "w") as f:
             f.write(NTFY_URL)
+        os.chmod(STORAGE_FILE_URL, 0o600)  # Restreindre les permissions
         print("URL ntfy par défaut générée :", NTFY_URL,"\n")
         NTFY_AUTH = False
         auth = None

src/env.py

@@ -38,7 +38,7 @@ def get_notes_content():
         'Sec-Fetch-User': '?1',
         'Cache-Control': 'max-age=0'
     }
-    response = requests.get(URL, headers=headers)
+    response = requests.get(URL, headers=headers, timeout=30)
 
     if response.status_code != 200:
         raise Exception(f"Erreur lors de la récupération des notes: {response.status_code} - {response.text}")

src/main.py

@@ -40,24 +40,31 @@ def convert_notes_to_json(url_response, json_file):
     if not html_content:
         raise ValueError("Le contenu HTML est vide ou invalide.")
 
-    soup = BeautifulSoup(html_content, "lxml")
-    
-    
-    thead = soup.find("thead")
-    if thead is None:
-        print("Avertissement : balise <thead> non trouvée dans la réponse, le serveur est probablement en train de se reload, attente 1 minutes avant relance...")
-        with open("debug_last_notes.html", "w", encoding="utf-8") as f:
-            f.write(html_content)
-        time.sleep(60)
-        print("Redémarrage du script...")
-        sys.exit(1)
-    header_row = thead.find_all("tr")[1]
-    headers = [fix_encoding_accents(th.get_text(separator=" ", strip=True).split("\n")[0]) for th in header_row.find_all("th")]
+    try:
+        soup = BeautifulSoup(html_content, "lxml")
+        
+        thead = soup.find("thead")
+        if thead is None:
+            print("Avertissement : balise <thead> non trouvée dans la réponse, le serveur est probablement en train de se reload, attente 1 minutes avant relance...")
+            # Sauvegarder en debug uniquement si LOG_LEVEL == DEBUG
+            import os
+            if os.getenv("LOG_LEVEL", "INFO").upper() == "DEBUG":
+                try:
+                    with open("debug_last_notes.html", "w", encoding="utf-8") as f:
+                        f.write(html_content[:10000])  # Limiter à 10KB pour éviter les gros fichiers
+                    os.chmod("debug_last_notes.html", 0o600)  # Restreindre les permissions
+                except Exception as e:
+                    print(f"Impossible de sauvegarder le fichier de debug: {e}")
+            time.sleep(60)
+            print("Redémarrage du script...")
+            sys.exit(1)
+        header_row = thead.find_all("tr")[1]
+        headers = [fix_encoding_accents(th.get_text(separator=" ", strip=True).split("\n")[0]) for th in header_row.find_all("th")]
 
-    rows = [
-        [fix_encoding_accents(td.get_text(separator=" ", strip=True)) for td in row.find_all("td")]
-        for row in soup.find("tbody").find_all("tr")
-        if "master-1" in row.get("class", [])
+        rows = [
+            [fix_encoding_accents(td.get_text(separator=" ", strip=True)) for td in row.find_all("td")]
+            for row in soup.find("tbody").find_all("tr")
+            if "master-1" in row.get("class", [])
     ]
 
     data = [dict(zip(headers, cells)) for cells in rows if any(cells[1:])]