Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116

1. VAPID-Keys aus docker-compose.yml und docker-compose.staging.yml entfernt. Werden jetzt aus .env gelesen (env_file war schon da, nur die environment-Override hat die .env-Werte überschrieben). .env auf DS um die 3 Keys ergänzt: - VAPID_PUBLIC_KEY, VAPID_PRIVATE_KEY, VAPID_CONTACT Erst Compose-Änderung wirksam — Push-Notifications funktionieren weiter weil die .env die Werte liefert. 2. Dockerfile-Hardening: Non-root USER appuser. - groupadd/useradd appuser (UID/GID 1000 für DS-Kompatibilität) - chown -R appuser:appuser /app /data nach mkdir - USER appuser vor CMD Memory says DSM ACLs könnten Probleme machen. Falls Container nicht startet → Rückbau. Bei Deploy genau hinsehen. 3. E-Mail-Änderungs-Audit-Punkt: kein Vulnerability gefunden. ProfileUpdate-Schema enthält kein 'email'-Feld. User können ihre E-Mail-Adresse aktuell gar nicht ändern → kein Takeover- Vektor wie im Audit vermutet.
2026-05-27 13:02:12 +02:00 · 2026-05-27 13:02:12 +02:00 · 83b1509168
commit 83b1509168
parent 35937ed51b
8 changed files with 30 additions and 24 deletions
--- a/backend/static/index.html
+++ b/backend/static/index.html
@ -86,14 +86,14 @@
  <title>Ban Yaro</title>

  <!-- Theme + theme-color Statusleiste vor CSS setzen -->
-  <script src="/js/boot-early.js?v=1115"></script>
+  <script src="/js/boot-early.js?v=1116"></script>

  <!-- CSS: Reihenfolge ist wichtig — ?v= zwingt Browser zur Neuladung -->
-  <link rel="stylesheet" href="/css/design-system.css?v=1115">
-  <link rel="stylesheet" href="/css/layout.css?v=1115">
-  <link rel="stylesheet" href="/css/components.css?v=1115">
-  <link rel="stylesheet" href="/css/utilities.css?v=1115">
-  <link rel="stylesheet" href="/css/lists.css?v=1115">
+  <link rel="stylesheet" href="/css/design-system.css?v=1116">
+  <link rel="stylesheet" href="/css/layout.css?v=1116">
+  <link rel="stylesheet" href="/css/components.css?v=1116">
+  <link rel="stylesheet" href="/css/utilities.css?v=1116">
+  <link rel="stylesheet" href="/css/lists.css?v=1116">
 </head>
 <body>

@ -617,11 +617,11 @@
 <div id="modal-container"></div>

 <!-- JS: Reihenfolge ist wichtig — erst Basis, dann Features -->
-<script src="/js/api.js?v=1115"></script>
-<script src="/js/ui.js?v=1115"></script>
-<script src="/js/app.js?v=1115"></script>
-<script src="/js/worlds.js?v=1115"></script>
-<script src="/js/offline-indicator.js?v=1115"></script>
+<script src="/js/api.js?v=1116"></script>
+<script src="/js/ui.js?v=1116"></script>
+<script src="/js/app.js?v=1116"></script>
+<script src="/js/worlds.js?v=1116"></script>
+<script src="/js/offline-indicator.js?v=1116"></script>

 <!-- Feature-Seiten werden lazy geladen -->

@ -631,7 +631,7 @@


 <!-- Boot: Offline-Banner + SW-Registration (extrahiert für CSP) -->
-<script src="/js/boot.js?v=1115"></script>
+<script src="/js/boot.js?v=1116"></script>


 </body>