From 610207d5709be5f6f76f8e6d12f3e1a9c40f5af8 Mon Sep 17 00:00:00 2001 From: posimai Date: Mon, 20 Apr 2026 17:10:55 +0900 Subject: [PATCH] security: CSP/HSTS headers (posimai-sc), update STATUS.md --- STATUS.md | 10 ++++++++-- posimai-sc/vercel.json | 8 ++++++++ 2 files changed, 16 insertions(+), 2 deletions(-) diff --git a/STATUS.md b/STATUS.md index 396f7355..fbbabb3c 100644 --- a/STATUS.md +++ b/STATUS.md @@ -9,6 +9,7 @@ ## mai のPC から実行待ち - **posimai-boki** は独立リポジトリで Gitea/GitHub へ push 済み。追加分を出したときは `cd posimai-boki && npm run deploy` +- **article-keeper フォルダ削除**(エクスプローラーから手動削除): Firebase プロジェクトは削除済み。キーは git 未追跡なので履歴汚染なし。フォルダを消すだけで OK。 ## 次にやること(優先順) @@ -75,9 +76,9 @@ node_modules/.bin/tauri build | タスク | 内容 | 優先度 | |--------|------|--------| -| **article-keeper Firebase キー削除** | Firebase Console でプロジェクトごと削除(不要なら)。完了後に AI が article-keeper/ ディレクトリを削除・コミットする | 高(キーが GitHub 公開履歴に存在) | +| **article-keeper フォルダ削除** | Firebase プロジェクト削除済み(mai 完了)。キーは git 未追跡のため履歴汚染なし。エクスプローラーでフォルダ削除するだけ | 低(プロジェクト削除済みでキー無効) | | Stripe sandbox テスト | Eiji に購入フロー確認依頼 | 中 | -| 特商法ページ記入 | 事業者名・住所・電話番号 | 中 | +| 特商法ページ記入 | tokushoho.html 作成済み。事業者名・住所・電話番号の**内容記入**が残っているか確認が必要 | 中 | | Store デザイン確定 | Eiji と A/B/C/D から選定 | 中 | ## ブロック中 @@ -99,6 +100,11 @@ node_modules/.bin/tauri build | Redis 移行(webauthnChallenges) | スケール要件が出てから | 現状インメモリで問題なし | | **Brain アクセントカラー確定** | mai 判断 | 2026-04-19 に indigo (`#818CF8`) → teal (`#6EE7B7`) へ変更。Posimai 標準に合わせたが、Brain は読書アプリとして indigo の方が雰囲気に合う可能性あり。indigo に戻す場合は `[data-app-id="posimai-brain"] { --accent: #818CF8; --accent-dim: rgba(129,140,248,.12); }` を style.css に追加。 | +## 直近でやったこと(2026-04-20 — pc-audit 修正・SC dashboard 更新) + +- **pc-audit バグ修正 9件**: Sort-Object -Unique / netstat Address:Port 解析 / ConsentPromptBehaviorAdmin 未検出 / スキャンスキップ追跡 / IDE キーワードノイズ / RowsEnrichedSample 統一(40行) / レポート自動削除 / SYNOPSIS 修正 / viewer 行数統一 +- **posimai-dashboard**: posimai-sc 用語インデックス・試験モードを timeline + projects.json に追加。デプロイ済み + ## 直近でやったこと(2026-04-20 — posimai-sc 完了) - **posimai-sc**: drills.js(S01〜S20 各2問)・manifest.json・sw.js・vercel.json・package.json 追加。Vercel プロジェクト接続・カスタムドメイン設定・エコシステム全登録([OK]確認済み) diff --git a/posimai-sc/vercel.json b/posimai-sc/vercel.json index 4058d28b..0faaff37 100644 --- a/posimai-sc/vercel.json +++ b/posimai-sc/vercel.json @@ -27,6 +27,14 @@ { "key": "Referrer-Policy", "value": "strict-origin-when-cross-origin" + }, + { + "key": "Content-Security-Policy", + "value": "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://unpkg.com https://cdn.jsdelivr.net https://esm.sh; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://fonts.gstatic.com; font-src 'self' data: https://fonts.gstatic.com; img-src 'self' data: https:; media-src 'self' https:; connect-src 'self' https://api.soar-enrich.com wss://api.soar-enrich.com https:; worker-src 'self'; frame-ancestors 'none';" + }, + { + "key": "Strict-Transport-Security", + "value": "max-age=31536000; includeSubDomains" } ] }