Security: Passwort-Minimum, Rate Limits, Headers, Passwort-vergessen, email_verified

- Passwort-Minimum 8 Zeichen bei Register + Reset
- Rate Limit auf /resend-verification (3/h) und /forgot-password (3/h)
- Security-Headers: X-Frame-Options, X-Content-Type-Options, Referrer-Policy etc.
- email_verified in get_current_user SELECT ergänzt
- Forum: create_thread + create_post erfordern email_verified
- POST /auth/forgot-password + /auth/reset-password (2h-Token, via support@)
- DB-Migration: password_reset_token + password_reset_expires
- Frontend: Passwort-vergessen-Modal im Login, Reset-Formular mit Passphrase-Generator
- SW by-v576, APP_VER 553

backend/static/js/app.js

@@ -3,7 +3,7 @@
    Router, State-Management, Navigation, Initialisierung.
    ============================================================ */
 
-const APP_VER     = '552'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
+const APP_VER     = '553'; // ← bei jedem Deploy mit Frontend-Änderungen erhöhen
 const APP_VERSION = '1.1.4'; // ← semantische Version, wird bei make release gesetzt
 const IS_STAGING  = location.hostname === 'staging.banyaro.app';
 
@@ -824,6 +824,14 @@ const App = (() => {
       });
     }
 
+    // Passwort-Reset: #reset-password?token=xxx
+    if (hashPage === 'reset-password' && hashParams.token) {
+      sessionStorage.setItem('by_reset_token', hashParams.token);
+      history.replaceState(null, '', '/');
+      navigate('settings', false);
+      return;
+    }
+
     // E-Mail-Verifikation: Redirect von /api/auth/verify-email/{token}
     if (hashParams.verified === '1' || hashParams.verified === 1) {
       if (state.user) state.user.email_verified = 1;