Security

Sicherheitshinweise.

Bekannte Einschränkungen von `web/serve.py`

PUT ohne Authentifizierung. Jeder Client im Netz kann Dateien unter templates/ überschreiben. Nur lokal oder hinter einem Auth-Proxy betreiben.
Path-Traversal-Schutz vorhanden. web/path_validator.py prüft auf .. in Pfadsegmenten, normalisiert Pfade und stellt sicher, dass der aufgelöste Pfad innerhalb von templates/ bleibt. Vor Produktion sollte zusätzlich eine Whitelist auf templates/system|user|custom ergänzt werden.
Kein HTTPS. Nur für lokale Entwicklung gedacht.

Stub — noch auszuarbeiten.