prompt_template/docs/SECURITY.md

# Security

Sicherheitshinweise.

## Bekannte Einschränkungen von `web/serve.py`

- **PUT ohne Authentifizierung.** Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
- **Keine Path-Traversal-Prüfung.** Pfade wie `/templates/../foo` werden nicht explizit blockiert. Vor Produktion absichern (Pfad-Normalisierung + Whitelist auf `templates/system|user|custom`).
- **Kein HTTPS.** Nur für lokale Entwicklung gedacht.

> Stub — noch auszuarbeiten.
fix: /templates.json-Bug, AGENTS.md neu strukturiert, fehlende Stubs angelegt - serve.py: /templates.json mappt nun auf web/templates.json (GET + PUT). Zuvor lieferte der Endpoint 404, weil der Handler nach ROOT/templates.json suchte, die Datei aber in web/ liegt. - AGENTS.md als Verhaltensregeln fuer Agenten umgebaut (statt defensive Selbstbehauptung in Projektdoku). Erfundene/nicht existente Artefakte aus der Doku entfernt, Commit-Tabelle aktualisiert, Tippfehler und nicht gerenderter date-Ausdruck korrigiert. - docs/{GETTING_STARTED,ARCHITECTURE,API_REFERENCE,DEPLOYMENT,DEBUGGING, SECURITY}.md als Stubs angelegt (waren in docs/INDEX.md verlinkt, aber inexistent). - history/CHANGELOG.md als Stub angelegt. - scripts/cleanup_server.sh angelegt (war in AGENTS.md als 'integriert' beschrieben, fehlte aber). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com> 2026-04-24 13:01:07 +02:00			`# Security`

			`Sicherheitshinweise.`

			## Bekannte Einschränkungen von `web/serve.py`

			- PUT ohne Authentifizierung. Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
			- Keine Path-Traversal-Prüfung. Pfade wie `/templates/../foo` werden nicht explizit blockiert. Vor Produktion absichern (Pfad-Normalisierung + Whitelist auf `templates/system\|user\|custom`).
			`- Kein HTTPS. Nur für lokale Entwicklung gedacht.`

			`> Stub — noch auszuarbeiten.`