chore: セキュリティ修正4件を STATUS.md に記録（2026-04-26）

STATUS.md

@@ -16,6 +16,9 @@
 | エラー情報露出 | server.js:2067 | chronicle/activityのe.message→汎用メッセージ | 2026-04-25 |
 | エラー情報露出 | server.js:3290 | atlas-scanのcode:e.code除去 | 2026-04-25 |
 | Guard CSRF トークン | posimai-guard | HMAC-SHA256(GEMINI_API_KEY, UTC日) を meta タグで注入、enrich/fix-issue に x-guard-token 必須化 | 2026-04-26 |
+| redirect_uri 正規表現 | posimai-dashboard/auth/verify | `isAllowedRedirectHost()` で Vercel サブドメイン乗っ取りを防止（posimai-evil.vercel.app の子ドメインが通っていた） | 2026-04-26 |
+| Analytics 認証ゲート | posimai-analytics | JWT 未保有ユーザーをログインページへリダイレクトする AuthGate を root layout に追加 | 2026-04-26 |
+| magic byte 検証 | server.js | /journal/upload で JPEG/PNG/GIF/WebP の先頭バイトをチェックし偽装アップロードを拒否 | 2026-04-26 |
 
 ### 批判的コードレビューで「既修正」と判明した項目
 
@@ -31,7 +34,6 @@
 
 **コード修正が必要（優先度 High）**
 1. H-7: CSP の `unsafe-inline` 除去 → インラインイベントハンドラを addEventListener に置換が必要。工数大
-2. H-5: redirect_uri 正規表現 → `posimai-evil.vercel.app` マッチ可能。絞り込みは小さい修正で可能
 
 **設計上の妥協点（意図的・変更不要）**
 - JWTをURL経由で渡す: クロスドメインSSO設計のため必要