# Security

Sicherheitshinweise.

## Bekannte Einschränkungen von `web/serve.py`

- **PUT ohne Authentifizierung.** Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
- **Keine Path-Traversal-Prüfung.** Pfade wie `/templates/../foo` werden nicht explizit blockiert. Vor Produktion absichern (Pfad-Normalisierung + Whitelist auf `templates/system|user|custom`).
- **Kein HTTPS.** Nur für lokale Entwicklung gedacht.

> Stub — noch auszuarbeiten.