rene/banyaro
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
No description
938 commits 2 branches 11 tags 429 MiB
Find a file
rene 83b1509168 Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 
1. VAPID-Keys aus docker-compose.yml und docker-compose.staging.yml
   entfernt. Werden jetzt aus .env gelesen (env_file war schon da,
   nur die environment-Override hat die .env-Werte überschrieben).
   .env auf DS um die 3 Keys ergänzt:
   - VAPID_PUBLIC_KEY, VAPID_PRIVATE_KEY, VAPID_CONTACT
   Erst Compose-Änderung wirksam — Push-Notifications funktionieren
   weiter weil die .env die Werte liefert.

2. Dockerfile-Hardening: Non-root USER appuser.
   - groupadd/useradd appuser (UID/GID 1000 für DS-Kompatibilität)
   - chown -R appuser:appuser /app /data nach mkdir
   - USER appuser vor CMD
   Memory says DSM ACLs könnten Probleme machen. Falls Container
   nicht startet → Rückbau. Bei Deploy genau hinsehen.

3. E-Mail-Änderungs-Audit-Punkt: kein Vulnerability gefunden.
   ProfileUpdate-Schema enthält kein 'email'-Feld. User können
   ihre E-Mail-Adresse aktuell gar nicht ändern → kein Takeover-
   Vektor wie im Audit vermutet.
2026-05-27 13:02:12 +02:00
backend Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00
diary Sprint 15: Suche, Ausweis, Teilen, Widget 2026-04-17 15:51:09 +02:00
promotion Dateien nach „promotion“ hochladen 2026-04-28 08:32:31 +02:00
reports Reports 2026-05-01 — Quartalsbericht 2026-05-01 08:07:41 +02:00
scripts Feature: Generische Seiten-Hilfe (UI.pageInfo), POI Multi-Select, Tagessprüche-DB (SW by-v654) 2026-05-03 20:10:01 +02:00
tests Big Sweep: Security + Race-Conditions + Tests + DSGVO + A11y, SW by-v1095 2026-05-26 20:12:01 +02:00
.env.example ki: Port 11435, Modell gemma-4-31b-it (LM Studio 0.4.x) 2026-04-24 18:15:32 +02:00
.gitignore Security: Play Store Paket aus Git entfernen (signing.keystore nicht eincheckbar) 2026-05-09 18:10:13 +02:00
docker-compose.staging.yml Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00
docker-compose.yml Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00
Dockerfile Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00
Makefile Security: CSP gehärtet — unsafe-inline + unsafe-eval raus, SW by-v1100 2026-05-27 06:23:47 +02:00
PROJEKT.md Doku: Sprint 16 komplett — Phone-Frame, Screenshots, UX-Fixes 2026-04-27 19:44:26 +02:00
pytest.ini Big Sweep: Security + Race-Conditions + Tests + DSGVO + A11y, SW by-v1095 2026-05-26 20:12:01 +02:00
VERSION Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00