chore: STATUS.md 更新(セッション3 セキュリティ修正記録)
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
parent
47c75cae4f
commit
b2a8f60cc0
35
STATUS.md
35
STATUS.md
|
|
@ -33,7 +33,40 @@
|
|||
| user_activity テーブル追加 | mai 確認必要(DB スキーマ変更) | Digest 週次集計の前提。CLAUDE.md 要確認事項 |
|
||||
| Redis 移行(webauthnChallenges) | スケール要件が出てから | 現状インメモリで問題なし |
|
||||
|
||||
## 直近でやったこと(2026-04-11)
|
||||
## 直近でやったこと(2026-04-11 セッション3)
|
||||
|
||||
### セキュリティ修正・コード品質改善(批判的コードレビュー対応)
|
||||
- **Together API メンバー検証**: `/together/share` `/together/react` `/together/comments` に `together_members` テーブルでのグループ参加確認を追加。非メンバー投稿を 403 で拒否 → VPS デプロイ済み
|
||||
- **manifest.json id 統一**: lens / diff / habit / pulse の `"id"` を `"posimai-xxx"` → `"/posimai-xxx/"` 形式に修正(new-app-guide.md 仕様通り)→ 各アプリデプロイ済み
|
||||
- **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
|
||||
- **PostgreSQL MCP**: 前セッションで完了(SSH トンネル設定・start-postgres-mcp.sh 作成)。Claude Code 再起動で有効化される
|
||||
|
||||
### 残る既知の課題
|
||||
- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げない(JWT 導入まで)
|
||||
- **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/store(カスタムテーマ以外)
|
||||
|
||||
## 直近でやったこと(2026-04-11 セッション2)
|
||||
|
||||
### posimai-ui 移行バッチ(CSS 重複削除・base.css 統一)
|
||||
- **posimai-lens**: 完全移行(768行 → 632行)+ デプロイ済み
|
||||
- **posimai-diff**: 完全移行(807行 → 705行)+ デプロイ済み
|
||||
- **posimai-clean**: 最小移行(data-app-id + base.css 追加、JWT handoff は既存実装あり)+ デプロイ済み
|
||||
- **posimai-think**: 最小移行(data-app-id + base.css + CSP style-src 更新)+ デプロイ済み
|
||||
- **posimai-digest**: 完全移行(1602行 → 1113行)+ JWT handoff 追加 + デプロイ済み
|
||||
- **posimai-pulse / posimai-habit**: 前セッションで移行・デプロイ済みを確認
|
||||
- **posimai-ui/base.css**: サイドバーレイアウトパターン追加済み(前セッション)
|
||||
- **_template-minimal / create-app.sh**: 前セッションで最新化済み
|
||||
|
||||
### PostgreSQL MCP 設定
|
||||
- [docs/postgresql-mcp-setup.md](docs/postgresql-mcp-setup.md): セットアップガイド作成(SSH トンネル・read-only user・セキュリティ要件)
|
||||
- [.mcp.json](.mcp.json): MCP 設定テンプレート作成(`.gitignore` に追加済み)
|
||||
- **次のアクション**: VPS に `posimai_readonly` ユーザー作成 → パスワードを `.mcp.json` に設定 → SSH トンネル起動
|
||||
|
||||
### 移行スキップ(意図的)
|
||||
- **brain / atlas / analytics / dev**: カスタムテーマ(navy/violet 等)のため移行しない
|
||||
- **clean / think**: CSS が複雑混在のため最小移行のみ(重複 CSS は残存するが機能的に問題なし)
|
||||
|
||||
## 直近でやったこと(2026-04-11 セッション1)
|
||||
|
||||
- **全アプリ認証統一**: `posimai_token`(JWT)を優先、`pk_` キーをフォールバックに変更(Brief / Daily / Journal / Ambient)
|
||||
- **Brief**: API キー手入力欄を廃止 → ログインボタン UI に変更
|
||||
|
|
|
|||
Loading…
Reference in New Issue