rene/banyaro
1
1
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
banyaro/backend/static/js
History
rene 83b1509168 Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 
1. VAPID-Keys aus docker-compose.yml und docker-compose.staging.yml
   entfernt. Werden jetzt aus .env gelesen (env_file war schon da,
   nur die environment-Override hat die .env-Werte überschrieben).
   .env auf DS um die 3 Keys ergänzt:
   - VAPID_PUBLIC_KEY, VAPID_PRIVATE_KEY, VAPID_CONTACT
   Erst Compose-Änderung wirksam — Push-Notifications funktionieren
   weiter weil die .env die Werte liefert.

2. Dockerfile-Hardening: Non-root USER appuser.
   - groupadd/useradd appuser (UID/GID 1000 für DS-Kompatibilität)
   - chown -R appuser:appuser /app /data nach mkdir
   - USER appuser vor CMD
   Memory says DSM ACLs könnten Probleme machen. Falls Container
   nicht startet → Rückbau. Bei Deploy genau hinsehen.

3. E-Mail-Änderungs-Audit-Punkt: kein Vulnerability gefunden.
   ProfileUpdate-Schema enthält kein 'email'-Feld. User können
   ihre E-Mail-Adresse aktuell gar nicht ändern → kein Takeover-
   Vektor wie im Audit vermutet.
2026-05-27 13:02:12 +02:00
..
pages Refactor: 1167 _esc() → UI.escape() in 36 Dateien, SW by-v1113 2026-05-27 10:15:33 +02:00
api.js Perf: 9 Performance-Fixes — SW by-v1072 2026-05-26 06:30:36 +02:00
app.js Security: VAPID-Keys raus aus Git, Dockerfile USER appuser, SW by-v1116 2026-05-27 13:02:12 +02:00
boot-early.js Security: CSP gehärtet — unsafe-inline + unsafe-eval raus, SW by-v1100 2026-05-27 06:23:47 +02:00
boot.js Security: CSP gehärtet — unsafe-inline + unsafe-eval raus, SW by-v1100 2026-05-27 06:23:47 +02:00
landing-init.js Security: CSP gehärtet — unsafe-inline + unsafe-eval raus, SW by-v1100 2026-05-27 06:23:47 +02:00
leaflet.js leaflet.js: Attribution-Control-Hook deaktiviert 2026-04-12 18:17:19 +02:00
leaflet.markercluster.js Sprint 10: OSM-POI-Cache, Karten-Clustering, Routen-Redesign 2026-04-15 16:30:10 +02:00
offline-indicator.js Bündel A-D: Race-Fixes, JWT-Cleanup, Storage-Watchdog, HTTPException, SW by-v1112 2026-05-27 09:41:56 +02:00
qrcode.min.js Feature: QR-Code mit Logo im Referral-Block — SW by-v441, APP_VER 420 2026-04-27 06:23:01 +02:00
ui.js Bündel 2: Zentrale Helper für DRY-Cleanup, SW by-v1114 2026-05-27 11:19:06 +02:00
worlds.js UX: Übung des Tages zeigt 'Stand erfassen →' statt '--' wenn kein Stand 2026-05-19 18:41:44 +02:00