prompt_template/docs/SECURITY.md

# Security

Sicherheitshinweise.

## Bekannte Einschränkungen von `web/serve.py`

- **PUT ohne Authentifizierung.** Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
- **Path-Traversal-Schutz vorhanden.** `web/path_validator.py` prüft auf `..` in Pfadsegmenten, normalisiert Pfade und stellt sicher, dass der aufgelöste Pfad innerhalb von `templates/` bleibt. Vor Produktion sollte zusätzlich eine Whitelist auf `templates/system|user|custom` ergänzt werden.
- **Kein HTTPS.** Nur für lokale Entwicklung gedacht.

> Stub — noch auszuarbeiten.
fix: /templates.json-Bug, AGENTS.md neu strukturiert, fehlende Stubs angelegt - serve.py: /templates.json mappt nun auf web/templates.json (GET + PUT). Zuvor lieferte der Endpoint 404, weil der Handler nach ROOT/templates.json suchte, die Datei aber in web/ liegt. - AGENTS.md als Verhaltensregeln fuer Agenten umgebaut (statt defensive Selbstbehauptung in Projektdoku). Erfundene/nicht existente Artefakte aus der Doku entfernt, Commit-Tabelle aktualisiert, Tippfehler und nicht gerenderter date-Ausdruck korrigiert. - docs/{GETTING_STARTED,ARCHITECTURE,API_REFERENCE,DEPLOYMENT,DEBUGGING, SECURITY}.md als Stubs angelegt (waren in docs/INDEX.md verlinkt, aber inexistent). - history/CHANGELOG.md als Stub angelegt. - scripts/cleanup_server.sh angelegt (war in AGENTS.md als 'integriert' beschrieben, fehlte aber). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> 2026-04-24 13:01:07 +02:00			`# Security`

			`Sicherheitshinweise.`

			## Bekannte Einschränkungen von `web/serve.py`

			- PUT ohne Authentifizierung. Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
fix: XSS in templates.js, cleanup orphaned dirs, fix scripts/templates/docs 2026-05-03 19:12:28 +02:00			- Path-Traversal-Schutz vorhanden. `web/path_validator.py` prüft auf `..` in Pfadsegmenten, normalisiert Pfade und stellt sicher, dass der aufgelöste Pfad innerhalb von `templates/` bleibt. Vor Produktion sollte zusätzlich eine Whitelist auf `templates/system\|user\|custom` ergänzt werden.
fix: /templates.json-Bug, AGENTS.md neu strukturiert, fehlende Stubs angelegt - serve.py: /templates.json mappt nun auf web/templates.json (GET + PUT). Zuvor lieferte der Endpoint 404, weil der Handler nach ROOT/templates.json suchte, die Datei aber in web/ liegt. - AGENTS.md als Verhaltensregeln fuer Agenten umgebaut (statt defensive Selbstbehauptung in Projektdoku). Erfundene/nicht existente Artefakte aus der Doku entfernt, Commit-Tabelle aktualisiert, Tippfehler und nicht gerenderter date-Ausdruck korrigiert. - docs/{GETTING_STARTED,ARCHITECTURE,API_REFERENCE,DEPLOYMENT,DEBUGGING, SECURITY}.md als Stubs angelegt (waren in docs/INDEX.md verlinkt, aber inexistent). - history/CHANGELOG.md als Stub angelegt. - scripts/cleanup_server.sh angelegt (war in AGENTS.md als 'integriert' beschrieben, fehlte aber). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> 2026-04-24 13:01:07 +02:00			`- Kein HTTPS. Nur für lokale Entwicklung gedacht.`

			`> Stub — noch auszuarbeiten.`