Security + E-Mail-HTML + Quartalsbericht + Registrierungspflicht

Registrierung & Login: - E-Mail-Verifikation jetzt Pflicht vor erstem Login - Register gibt keinen Token mehr zurück → "Postfach prüfen"-Screen - Login blockt mit EMAIL_NOT_VERIFIED (403) wenn unverifiziert - Resend-Verification ohne Auth (email-basiert) - Frontend: _renderVerifyPending() nach Register und Login-Fehler - Account-Lockout: 5 Fehlversuche → 15 Min gesperrt (ratelimit.py) - Login Rate-Limit zusätzlich per E-Mail-Adresse (5/5 Min) - Fehler-Tracking wird bei erfolgreichem Login zurückgesetzt E-Mail-Templates (alle Mails jetzt HTML): - email_html() Shared-Template in mailer.py (Gradient-Header, Warm-Beige) - Verifikations-Mail, Passwort-Reset → HTML mit CTA-Button - Admin-Outreach: plain text auto-wrapped in HTML - Züchter-Mails (Antrag/Genehmigung/Ablehnung) → Template - Tierschutz-Alert (litters.py) → Template - send_support_mail → HTML - outreach._build_message() + _send_smtp() unterstützen jetzt html= Parameter Forum-Schutz: - Post-Cooldown: 30 Sek zwischen beliebigen Posts (DB-Check) - Stunden-Limit: 5 Threads / 20 Antworten pro User/Stunde - Duplikat-Erkennung: gleicher Text in 5 Min blockiert (in-memory) - content_filter.py: Spam-Keywords, URL-Sperre für Accounts < 7 Tage, Sonderzeichen-Ratio-Check Security-Headers: - HSTS: max-age=31536000; includeSubDomains - Content-Security-Policy: frame-ancestors none, base-uri self, … - X-Frame-Options entfernt (CSP frame-ancestors ist moderner) Honeypot-Fallen (13 Scanner-Pfade → 24h IP-Sperre): - /api/admin/users, /api/v1/users, /api/.env, /api/config, /api/setup, /api/install, /api/phpinfo, /api/debug, /api/actuator, /api/swagger, /api/graphql u.a. Quartalsbericht-System: - backend/scripts/generate_reports.py: 6 Sections (Sicherheit, Funktionsumfang, Dateien, Nutzer, Partner, Server) - make reports: generiert alle Berichte aus dem Container, committed - Scheduler: quarterly_report Job (1. Feb/Mai/Aug/Nov 07:00) → vollständige HTML-Mail an ADMIN_EMAIL - quarterly_report erscheint im täglichen Status-Report Admin-Panel: - "Forum & Meldungen" → "Forum"
2026-05-01 08:20:53 +02:00 · 2026-05-01 08:20:53 +02:00 · de1677154f
commit de1677154f
parent c1bb728153
15 changed files with 1363 additions and 141 deletions
--- a/backend/static/js/pages/admin.js
+++ b/backend/static/js/pages/admin.js
@ -14,7 +14,7 @@ window.Page_admin = (() => {
    { id: 'nutzer',      label: 'Nutzer',            icon: 'users'            },
    { id: 'moderation',  label: 'Moderation',        icon: 'shield-check'     },
    { id: 'zuchter',     label: 'Züchter',           icon: 'certificate'      },
-    { id: 'forum',       label: 'Forum & Meldungen', icon: 'chat-circle-dots' },
+    { id: 'forum',       label: 'Forum',             icon: 'chat-circle-dots' },
    { id: 'social',      label: 'Social Media',      icon: 'camera'           },
    { id: 'analytics',   label: 'Analytics',         icon: 'target'           },
    { id: 'system',      label: 'System',             icon: 'gear'             },
--- a/backend/static/js/pages/settings.js
+++ b/backend/static/js/pages/settings.js
@ -1238,6 +1238,49 @@ window.Page_settings = (() => {
  // ----------------------------------------------------------
  // NICHT EINGELOGGT — Login / Registrierung
  // ----------------------------------------------------------
+  function _renderVerifyPending(email) {
+    _container.innerHTML = `
+      <div style="max-width:380px;margin:0 auto;padding:var(--space-6) 0;text-align:center">
+        <div style="margin-bottom:var(--space-5)">
+          <img src="/icons/icon-180.png" alt="Ban Yaro"
+               style="width:72px;height:72px;border-radius:var(--radius-lg);margin-bottom:var(--space-3)">
+          <h1 style="font-size:var(--text-2xl);font-weight:700;margin:0">E-Mail bestätigen</h1>
+        </div>
+        <div style="background:var(--c-surface-2);border-radius:var(--radius-lg);
+                    padding:var(--space-5);margin-bottom:var(--space-4);text-align:left">
+          <p style="margin:0 0 var(--space-2)">
+            Wir haben einen Bestätigungslink an<br>
+            <strong>${email}</strong><br>
+            gesendet.
+          </p>
+          <p style="margin:0;color:var(--c-text-secondary);font-size:var(--text-sm)">
+            Bitte prüfe dein Postfach und klicke auf den Link, um dein Konto zu aktivieren.
+            Danach kannst du dich hier anmelden.
+          </p>
+        </div>
+        <button id="verify-resend-btn2" class="btn btn-ghost w-full"
+                style="margin-bottom:var(--space-3)">
+          Link erneut senden
+        </button>
+        <button id="verify-back-btn" class="btn btn-ghost w-full"
+                style="color:var(--c-text-muted);font-size:var(--text-sm)">
+          Anderes Konto / Anmelden
+        </button>
+      </div>
+    `;
+    document.getElementById('verify-resend-btn2')?.addEventListener('click', async function() {
+      this.disabled = true;
+      this.textContent = 'Gesendet …';
+      try {
+        await API.post('/auth/resend-verification', { email });
+        UI.toast.success('Bestätigungs-Mail erneut gesendet.');
+      } catch {
+        UI.toast.error('Fehler beim Senden — bitte versuche es später erneut.');
+      }
+    });
+    document.getElementById('verify-back-btn')?.addEventListener('click', () => _renderAuth('login'));
+  }
+
  function _renderAuth(mode) {
    // Passwort-Reset über Link aus E-Mail
    const resetToken = sessionStorage.getItem('by_reset_token');
@ -1467,7 +1510,16 @@ window.Page_settings = (() => {
      const fd  = UI.formData(e.target);

      await UI.asyncButton(btn, async () => {
-        const result = await API.auth.login(fd.email, fd.password);
+        let result;
+        try {
+          result = await API.auth.login(fd.email, fd.password);
+        } catch (err) {
+          if (err.message === 'EMAIL_NOT_VERIFIED') {
+            _renderVerifyPending(fd.email);
+            return;
+          }
+          throw err;
+        }
        localStorage.setItem('by_token', result.token);

        // User-Daten laden
@ -1583,22 +1635,12 @@ window.Page_settings = (() => {
        const refCode     = sessionStorage.getItem('by_ref_code') || '';
        const finalCode   = partnerCode || refCode || undefined;
        const result = await API.auth.register(fd.email, fd.password, fd.name.trim(), finalCode);
-        localStorage.setItem('by_token', result.token);
        if (refCode) sessionStorage.removeItem('by_ref_code');

-        _appState.user = await API.auth.me();
-        document.getElementById('sidebar-username').textContent = _appState.user.name;
-        _appState.dogs      = [];
-        _appState.activeDog = null;
-
-        document.getElementById('header-login-btn')?.remove();
-        const greeting = _appState.user.is_founder_pending
-          ? `Willkommen, ${_appState.user.name}! 🎉 Dein Gründer-Platz ist reserviert — leg jetzt dein Hunde-Profil an um ihn zu sichern!`
-          : _appState.user.is_founder
-          ? `Willkommen, Gründer ${_appState.user.name}! 🎉`
-          : `Willkommen bei Ban Yaro, ${_appState.user.name}!`;
-        UI.toast.success(greeting);
-        App.showOnboarding();
+        if (result.pending_verification) {
+          _renderVerifyPending(fd.email);
+          return;
+        }
      });
    });
  }