gemeentenijmegen / mijn-nijmegen Goto Github PK

• maar ook: statusformulier periode staat als '202205'

(Er zijn nog geen meldingen en aanvragen)

De GitHub upgrade action gebruikt nu de default branch als base, we willen upgrades eerst in acceptance uitvoeren. Aanpassen van de upgrade.yml om acceptance als base te gebruiken.

Ook documenteren (tbv audit/intern) wat we doen en wat niet.

Vereist voor digid-aansluiting: https://logius.nl/diensten/digid/documentatie/factsheet-domeinnaam-dnssec

De link naar de privacyverklaring werkt niet, moet denk ik https://www.nijmegen.nl/diensten/privacy/privacyverklaring/ zijn. En moet daar iets in aangepast worden als de nieuwe Mijn-omgeving er bij komt?

Updaten naar nieuwste versie, eerst even checken of/welke browsers daarmee eventueel buiten de boot vallen. Zie https://aws.amazon.com/about-aws/whats-new/2021/06/amazon-cloudfront-announces-new-tlsv12_2021-security-policy-for-viewer-connections/ voor details over wijziging tov _2019.

Om fouten in het aanmaken van cookies te verkleinen ook het zetten (niet alleen parsen) van cookies via library doen.

Er komen errors uit de logout-functie mbt dynamodb-queries met een lege param:

2022-05-03T14:51:41.950Z 5122398c-0ae1-48e8-b5e0-fb606b84ecce ERROR Error updating session in DynamoDB: ValidationException: One or more parameter values are not valid. The AttributeValue for a key attribute cannot contain an empty string value. Key: sessionid

Dit komt doordat de sessie-cookie geleegd wordt, maar in de sessie-handler niet goed gekeken werd of de sessie-cookie afwezig óf leeg was.

Alerting naar slack bij errors in de lambda's implementeren.

Graag de tekst " hier vindt u een overzicht van uw uitkeringen" veranderen.

• lees toegang tot de Lambda functies (om bv de configuratie te kunnen zien)
• Lees toegang tot de cloudwatch logging van de lambda functies
• lees toegang tot de cloudwatch Lambda insights (bij voorkeur alleen voor deze lambda's, maar vooralsnog geen probleem als ook de data van andere lambda's te zien is)
• lees toegang tot de DynamoDb session store
• GEEN toegang tot de KMS key waarmee DynamoDb encrypt wordt

Deze role is bedoeld voor:

• beheerders van aws omgeving
• pentester

Waarschijnlijk is de xml-ns nog in de request body nog niet goed, moet in prod en accp gelijk zijn.

• WAF toevoegen + koppelen aan Cloudfront
• Logging WAF regelen

Zoveel mogelijk in de setup doen, zodat de lambda's in requests sneller zijn.

session.js bevat this.dbClient = new DynamoDBClient();
const secretsManagerClient = new SecretsManagerClient();
in OpenIdConnect.js
daar ook nog omdat er limieten zitten aan aantal requests/sec naar parameter store/secretsmanager

Certificaat moet aangemaakt in us-east-1 (voor Cloudfront). DNS validation gaat automatisch voor cap-nijmegen.nl, maar niet voor nijmegen.nl.

Opzet: Om CloudFormation zover te krijgen dat het ook valideert als de records voor nijmegen.nl al bestaan, maken we een zone aan voor *.nijmegen.nl en zetten we daar validatierecords in. Daadwerkelijke validatie gebeurt met de 'echte' dns-servers.

Poging automatische releases te doen via projen-geregelde workflow.

• GemeenteNijmegen/mijn-uitkering#80
• GemeenteNijmegen/mijn-gegevens#11

De Waf heeft een gegeneerde naam, ipv een leesbare. Op zich handig, maar niet voor analyse icm Athena e.d.
In de WAF staan ook rulesets aan die helemaal niet aan hoeven, omdat ze niet van toepassing zijn (elke ruleset die aanstaat kost geld, nog los van het verkeer dat erdoor gaat).
Zie ook het hoofdstukje 'AWS WAF Web ACL capacity units (WCU)' hier: https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works.html

Rulesets die volgens mij uit kunnen:

• AWS-AWSManagedRulesKnownBadInputsRuleSet (lijkt voornamelijk gericht op java exploits)
• AWS-AWSManagedRulesAdminProtectionRuleSet (er zijn geen admin pages om te exposen)
• AWS-AWSManagedRulesSQLiRuleSet (afhankelijk hoe de code werkt, maar aangezien die een api aanroept en niet zelf een sql-call doet lijken deze ook niet nodig).
• AnonymousIp: we willen faciliteren dat inwoners met een anoniem ip (bv een vpn) gebruik kunnen maken van onze diensten.

suggestie voor de volgorde (want bij een block is het request meteen eruit)

1. bot control ruleset
2. rate-limiter obv ip (zie de WAF van de webformulieren), om ddos scenario's te voorkomen.
3. Amazon Ip Reputation
4. ManagedRulesCommonRuleset

Op dit moment is het niet mogelijk source sans zelf te hosten, de css van de component library import de Google-versie van de font stylesheet, waardoor ze dubbel laden. Bekijken of component library aangepast kan worden

Technische issues (WAF, frontend console meldingen).
Release-management inregelen.

• Default release branch wijzigen #46
• Afspraak IRvN
• #66
• Automatische releases? #47
• #72
• #57
• #58
• #79
• #88
• quick wins review tweede golf

Voor release:

• #111
• #110
• #123
• #124
• #125
• #150
• #148
• #149

Doorontwikkeling

• #138
• #139

Er is nog geen navigatie terug vanuit een onderdeel van Mijn Nijmegen. Toevoegen van een methode om te navigeren binnen de site.

Nadat #27 in productie is verwijderen certificate stack. Dit kan pas daarna omdat een dependency van cloudfrontstack van certificatestack hierin verwijderd wordt. Eerder verwijderen van de stack kan niet. Zie https://aws-blog.de/2020/09/deployment-issues-with-cross-stack-dependencies-and-the-cdk.html voor meer info.

• Bekijken waar alerts voor nodig zijn
• Bekijken of/welke logging een melding in Slack op moet leveren
• #82
• Implementeren logging-meldingen

2 keys: 1 voor sessions-table, 1 voor logging (s3 bucket/cloudwatch).

• #76
• Zorgen dat lambda geen time-out geeft als api te traag is (al gebouwd, checken of het werkt)