11 lines
620 B
Markdown
11 lines
620 B
Markdown
# Security
|
|
|
|
Sicherheitshinweise.
|
|
|
|
## Bekannte Einschränkungen von `web/serve.py`
|
|
|
|
- **PUT ohne Authentifizierung.** Jeder Client im Netz kann Dateien unter `templates/` überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
|
|
- **Path-Traversal-Schutz vorhanden.** `web/path_validator.py` prüft auf `..` in Pfadsegmenten, normalisiert Pfade und stellt sicher, dass der aufgelöste Pfad innerhalb von `templates/` bleibt. Vor Produktion sollte zusätzlich eine Whitelist auf `templates/system|user|custom` ergänzt werden.
|
|
- **Kein HTTPS.** Nur für lokale Entwicklung gedacht.
|
|
|
|
> Stub — noch auszuarbeiten.
|