tobias/gwoe-antragspruefer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases 1 Wiki Activity

Security Audit: Credentials aus Code entfernen, Haertung #119

New Issue
Closed
opened 2026-04-11 00:19:42 +02:00 by tobias · 2 comments
tobias commented 2026-04-11 00:19:42 +02:00
Owner
Copy Link

Kritisch

  • Keycloak Admin-Passwort im Klartext in main.py (Zeilen 470, 505, 533) — muss in ENV-Variable
  • SMTP-Credentials ebenfalls in ENV statt Code

Hoch

  • Input-Validation: alle Form-Inputs und Query-Parameter pruefen
  • CORS-Header pruefen (aktuell keine explizite Config)
  • Rate-Limiting auf Auth-Endpoints (Login, Register)
  • Cookie-Flags: HttpOnly, Secure, SameSite auf access_token Cookie

Mittel

  • CSP-Header (Content-Security-Policy)
  • X-Frame-Options / X-Content-Type-Options Header
  • Admin-Endpoints: require_admin konsistent pruefen
  • SQL-Injection-Review (aiosqlite parametrisierte Queries)

Niedrig

  • Dependency-Audit (pip-audit)
  • Docker: non-root User im Container
  • Log-Sanitization (keine Tokens/Passwoerter in Logs)
## Kritisch - [ ] **Keycloak Admin-Passwort im Klartext** in `main.py` (Zeilen 470, 505, 533) — muss in ENV-Variable - [ ] SMTP-Credentials ebenfalls in ENV statt Code ## Hoch - [ ] Input-Validation: alle Form-Inputs und Query-Parameter pruefen - [ ] CORS-Header pruefen (aktuell keine explizite Config) - [ ] Rate-Limiting auf Auth-Endpoints (Login, Register) - [ ] Cookie-Flags: HttpOnly, Secure, SameSite auf access_token Cookie ## Mittel - [ ] CSP-Header (Content-Security-Policy) - [ ] X-Frame-Options / X-Content-Type-Options Header - [ ] Admin-Endpoints: require_admin konsistent pruefen - [ ] SQL-Injection-Review (aiosqlite parametrisierte Queries) ## Niedrig - [ ] Dependency-Audit (pip-audit) - [ ] Docker: non-root User im Container - [ ] Log-Sanitization (keine Tokens/Passwoerter in Logs)
tobias commented 2026-04-11 00:23:18 +02:00
Author
Owner
Copy Link

Kritisch erledigt: Keycloak-Admin-PW aus main.py entfernt, via ENV-Variable + keycloak_admin_token() Helper in auth.py. Hardcoded sso.toppyr.de URLs durch settings.keycloak_url ersetzt. Verbleibend: Cookie-Flags, CSP-Header, Rate-Limiting auf Auth, pip-audit.

Kritisch erledigt: Keycloak-Admin-PW aus main.py entfernt, via ENV-Variable + keycloak_admin_token() Helper in auth.py. Hardcoded sso.toppyr.de URLs durch settings.keycloak_url ersetzt. Verbleibend: Cookie-Flags, CSP-Header, Rate-Limiting auf Auth, pip-audit.
tobias commented 2026-04-11 00:46:32 +02:00
Author
Owner
Copy Link

Erledigt

  • Keycloak-Admin-PW aus main.py → ENV (KEYCLOAK_ADMIN_USER, KEYCLOAK_ADMIN_PASSWORD)
  • Hardcoded sso.toppyr.de URLs → settings.keycloak_url
  • Cookie: HttpOnly + Secure + SameSite=Lax (war schon)
  • CSP-Header mit frame-ancestors none (war schon)
  • X-Frame-Options, X-Content-Type-Options, Referrer-Policy (war schon)
  • Rate-Limiting auf /api/analyze-drucksache (10/min)

Noch offen

  • pip-audit (Dependency-Check)
  • Docker non-root User
  • Rate-Limiting auf /api/auth/register (Brute-Force-Schutz)
  • SMTP-Credentials auch in ENV statt Keycloak-Realm-Config
## Erledigt - [x] Keycloak-Admin-PW aus main.py → ENV (KEYCLOAK_ADMIN_USER, KEYCLOAK_ADMIN_PASSWORD) - [x] Hardcoded sso.toppyr.de URLs → settings.keycloak_url - [x] Cookie: HttpOnly + Secure + SameSite=Lax (war schon) - [x] CSP-Header mit frame-ancestors none (war schon) - [x] X-Frame-Options, X-Content-Type-Options, Referrer-Policy (war schon) - [x] Rate-Limiting auf /api/analyze-drucksache (10/min) ## Noch offen - [ ] pip-audit (Dependency-Check) - [ ] Docker non-root User - [ ] Rate-Limiting auf /api/auth/register (Brute-Force-Schutz) - [ ] SMTP-Credentials auch in ENV statt Keycloak-Realm-Config
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels   
feedback

   
phase-0

Voraussetzung — sofort, blockiert späteres

  
phase-1

Schnelle Adapter-Wiederverwendung — Tag 1

  
phase-2

StarWeb-Familie + Eigenständige in Tag 2-3

  
phase-3

Eigenständige Reverse-Engineerings — Wochen-Brocken

  
roadmap

Übergreifendes Tracking-Issue

  
scraper

Adapter-Implementierung für ein Bundesland

  
todo

TODO aus CLAUDE.md

  
ui-aktivierung

Bundesland im Frontend aktiv schalten + Wahlprogramme indexieren

  
ui-frontend

Frontend / Templates

No Label
feedback
phase-0
phase-1
phase-2
phase-3
roadmap
scraper
todo
ui-aktivierung
ui-frontend
Milestone
Clear milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
No Assignees
1 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: tobias/gwoe-antragspruefer#119
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?