From 48f539dc66b646c97b757354c1c2de2d65755e15 Mon Sep 17 00:00:00 2001
From: posimai <posimai.project@gmail.com>
Date: Sat, 25 Apr 2026 22:12:20 +0900
Subject: [PATCH] =?UTF-8?q?chore:=20=E3=82=BB=E3=82=AD=E3=83=A5=E3=83=AA?=
 =?UTF-8?q?=E3=83=86=E3=82=A3=E4=BF=AE=E6=AD=A34=E4=BB=B6=E3=82=92=20STATU?=
 =?UTF-8?q?S.md=20=E3=81=AB=E8=A8=98=E9=8C=B2=EF=BC=882026-04-26=EF=BC=89?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 STATUS.md | 4 +++-
 1 file changed, 3 insertions(+), 1 deletion(-)

diff --git a/STATUS.md b/STATUS.md
index 67581be2..d09c4fa1 100644
--- a/STATUS.md
+++ b/STATUS.md
@@ -16,6 +16,9 @@
 | エラー情報露出 | server.js:2067 | chronicle/activityのe.message→汎用メッセージ | 2026-04-25 |
 | エラー情報露出 | server.js:3290 | atlas-scanのcode:e.code除去 | 2026-04-25 |
 | Guard CSRF トークン | posimai-guard | HMAC-SHA256(GEMINI_API_KEY, UTC日) を meta タグで注入、enrich/fix-issue に x-guard-token 必須化 | 2026-04-26 |
+| redirect_uri 正規表現 | posimai-dashboard/auth/verify | `isAllowedRedirectHost()` で Vercel サブドメイン乗っ取りを防止（posimai-evil.vercel.app の子ドメインが通っていた） | 2026-04-26 |
+| Analytics 認証ゲート | posimai-analytics | JWT 未保有ユーザーをログインページへリダイレクトする AuthGate を root layout に追加 | 2026-04-26 |
+| magic byte 検証 | server.js | /journal/upload で JPEG/PNG/GIF/WebP の先頭バイトをチェックし偽装アップロードを拒否 | 2026-04-26 |
 
 ### 批判的コードレビューで「既修正」と判明した項目
 
@@ -31,7 +34,6 @@
 
 **コード修正が必要（優先度 High）**
 1. H-7: CSP の `unsafe-inline` 除去 → インラインイベントハンドラを addEventListener に置換が必要。工数大
-2. H-5: redirect_uri 正規表現 → `posimai-evil.vercel.app` マッチ可能。絞り込みは小さい修正で可能
 
 **設計上の妥協点（意図的・変更不要）**
 - JWTをURL経由で渡す: クロスドメインSSO設計のため必要