Big Sweep: Security + Race-Conditions + Tests + DSGVO + A11y, SW by-v1095

SECURITY (auth.py, routes/auth.py, database.py, main.py)
- JWT bekommt jti; Logout trägt in neue jwt_blacklist-Tabelle ein,
  decode_token() prüft → server-side Invalidierung
- JWT-Expiry default 30 → 7 Tage (ENV JWT_EXPIRY_DAYS überschreibt)
- Sliding-Refresh-Middleware: erneuert Cookie wenn >50% verbraucht
  (Schwelle via JWT_REFRESH_FRACTION, Default 2)
- Login-Lockout in DB-Tabelle login_attempts (5 Versuche / 15 Min,
  überlebt Container-Restart) — alte In-Memory-Lockouts ersetzt
- SMTP-Versand: alle 'except: pass' durch logger.exception ersetzt;
  Fehlversuche landen in failed_emails-Tabelle für späteres Retry
- Referral-Counter Race gefixt: UPDATE partner_codes SET uses=uses+1
  ... WHERE uses<max_uses RETURNING — atomar statt SELECT+UPDATE

RACE CONDITIONS (routes/invoices.py, database.py)
- Neue invoice_counters-Tabelle für atomare Nummernvergabe
- _next_invoice_number nutzt BEGIN IMMEDIATE + atomares UPDATE
- Funktioniert für RG- und ST-Prefixe (Stornorechnungen)
- Race-Test verifiziert (5 Threads × 20 Calls = 100 eindeutige Nummern)

VERSION + TESTS + ERROR-DIGEST (VERSION, Makefile, tests/, scheduler.py)
- Neue VERSION-Datei (Single Source of Truth) — main.py liest beim
  Startup
- Makefile-Target 'make bump' propagiert in sw.js, app.js, index.html
- Makefile-Target 'make test' setzt venv auf, läuft pytest
- 19 Smoke-Tests in tests/ (health, auth, diary, invoice) — alle grün
- Scheduler: täglicher _job_error_digest um 06:30 → schickt Error-
  Zusammenfassung an ADMIN_EMAIL (still wenn keine Errors)

DSGVO + A11Y + ERSTE-HILFE
- landing.html: 'HTML und ODS' → 'JSON' (tatsächlich implementiert)
- datenschutz.js: Sektion Account-Löschung erweitert (sofort gelöscht /
  anonymisiert / 10 Jahre für Rechnungen)
- erste-hilfe.js: prominentes Warning-Banner oben (ersetzt keine
  Tierarzt-Beratung); Notfallnummern gruppiert nach Land, TODO-Platz-
  halter für AT-Uni-Klinik, CH Tox Info Suisse, CH Tierspital Zürich
- ui.js Modal: ESC schließt, Focus-Trap, Auto-Focus erstes Element,
  Restore Focus auf vorigen Caller
- impressum.js Kontaktformular: Labels mit for=cf-name etc.

NEUE DB-TABELLEN (idempotent via CREATE TABLE IF NOT EXISTS)
- jwt_blacklist, login_attempts, failed_emails, invoice_counters

NEUE ENV-VARS
- JWT_REFRESH_FRACTION (Default 2)
- JWT_EXPIRY_DAYS Default geändert (30 → 7)

backend/static/js/ui.js

@@ -123,20 +123,69 @@ const UI = (() => {
       };
       overlay.addEventListener('focusin', _onFocusin);
 
-      _current = { overlay, onClose, _vvCleanup, _onFocusin };
+      // -----------------------------------------------------
+      // Accessibility: ESC schließt + Focus-Trap
+      // -----------------------------------------------------
+      const FOCUSABLE_SEL = 'a[href], button:not([disabled]), input:not([disabled]):not([type="hidden"]), textarea:not([disabled]), select:not([disabled]), [tabindex]:not([tabindex="-1"])';
+
+      const _getFocusables = () =>
+        Array.from(modal?.querySelectorAll(FOCUSABLE_SEL) || [])
+             .filter(el => el.offsetParent !== null || el === document.activeElement);
+
+      const _prevFocus = document.activeElement;
+
+      const _onKeydown = e => {
+        if (e.key === 'Escape') {
+          e.preventDefault();
+          close();
+          return;
+        }
+        if (e.key !== 'Tab') return;
+        const focusables = _getFocusables();
+        if (!focusables.length) { e.preventDefault(); return; }
+        const first = focusables[0];
+        const last  = focusables[focusables.length - 1];
+        if (e.shiftKey) {
+          if (document.activeElement === first || !modal.contains(document.activeElement)) {
+            e.preventDefault();
+            last.focus();
+          }
+        } else {
+          if (document.activeElement === last || !modal.contains(document.activeElement)) {
+            e.preventDefault();
+            first.focus();
+          }
+        }
+      };
+      document.addEventListener('keydown', _onKeydown);
+
+      // Erstes fokussierbares Element autofokussieren (nach Render)
+      setTimeout(() => {
+        const focusables = _getFocusables();
+        // Schließen-Button überspringen, falls weitere Elemente vorhanden
+        const target = focusables.find(el => !el.classList.contains('modal-close-btn')) || focusables[0];
+        target?.focus();
+      }, 50);
+
+      _current = { overlay, onClose, _vvCleanup, _onFocusin, _onKeydown, _prevFocus };
 
       return overlay.querySelector('.modal');
     }
 
     function close() {
       if (!_current) return;
-      const { onClose, _vvCleanup, _onFocusin } = _current;
+      const { onClose, _vvCleanup, _onFocusin, _onKeydown, _prevFocus } = _current;
       onClose?.();
       _vvCleanup?.();
       if (_onFocusin) _current.overlay.removeEventListener('focusin', _onFocusin);
+      if (_onKeydown) document.removeEventListener('keydown', _onKeydown);
       _current.overlay.remove();
       document.documentElement.classList.remove('modal-open');
       _current = null;
+      // Fokus auf vorheriges Element zurücksetzen (falls noch im DOM)
+      if (_prevFocus && typeof _prevFocus.focus === 'function' && document.body.contains(_prevFocus)) {
+        try { _prevFocus.focus(); } catch (_) {}
+      }
       // iOS Safari setzt den Zoom nach Input-Fokus nicht zurück — Viewport kurz neu setzen
       const meta = document.querySelector('meta[name="viewport"]');
       if (meta) {