From b7e40ace8ebdf7936b205b342106a5594e9fe291 Mon Sep 17 00:00:00 2001
From: posimai <posimai.project@gmail.com>
Date: Mon, 20 Apr 2026 08:03:11 +0900
Subject: [PATCH] =?UTF-8?q?chore:=20STATUS=20=E3=81=AB=20Together=20?=
 =?UTF-8?q?=E3=82=BB=E3=82=AD=E3=83=A5=E3=83=AA=E3=83=86=E3=82=A3=E5=BC=B7?=
 =?UTF-8?q?=E5=8C=96=E3=81=AE=E5=AE=8C=E4=BA=86=E8=A8=98=E9=8C=B2=E3=82=92?=
 =?UTF-8?q?=E8=BF=BD=E8=A8=98=EF=BC=882026-04-19=E3=80=9C20=EF=BC=89?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 STATUS.md | 16 ++++++++++++++--
 1 file changed, 14 insertions(+), 2 deletions(-)

diff --git a/STATUS.md b/STATUS.md
index 55c9d307..b1d3994f 100644
--- a/STATUS.md
+++ b/STATUS.md
@@ -125,6 +125,19 @@ node_modules/.bin/tauri build
 - **`clientIp.ts`**: `x-forwarded-for` の最後のエントリを使うよう変更（スプーフィング耐性向上）。IP 形式検証追加
 - デプロイ済み（Vercel 自動デプロイ中）
 
+## 直近でやったこと（2026-04-19〜20 Together セキュリティ強化）
+
+### Together 安全性修正（全て VPS 反映済み・Eiji/Nanami への影響なし）
+- **JWT legacy fallback なりすまし穴修正**（`96f22b6`）: legacy path は warn ログのみ、user_id 紐付きは厳格チェック
+- **GET /together/groups/:groupId 認証なし invite_code 露出修正**（`222238f`）: `?u=username` + `togetherEnsureMember` でメンバーのみ返却。フロントは `?u=${currentUser}` 送信済みで整合している
+- **together_members.user_id バックフィル**: 起動時 SQL で `users` テーブルと username 一致行を自動紐付け
+- **UI バグ修正**: 未読ドットに `event.stopPropagation()`、設定パネルに invite_code 表示、名前フィールド変更時データ消失を解消
+
+### 残る既知のリスク（商用前に対応）
+- グループ作成・参加エンドポイントはまだ認証なし（mai + Eiji のみ運用で許容）
+- JWT 必須化（legacy path 完全削除）は user_id 紐付けが全グループで完了してから
+- together_members の user_id バックフィルが空振りしていないか要確認: `SELECT username, user_id FROM together_members;`（PostgreSQL MCP 経由）
+
 ## 直近でやったこと（2026-04-11 セッション3）
 
 ### セキュリティ修正・コード品質改善（批判的コードレビュー対応）
@@ -133,8 +146,7 @@ node_modules/.bin/tauri build
 - **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
 - **PostgreSQL MCP**: 前セッションで完了（SSH トンネル設定・start-postgres-mcp.sh 作成）。Claude Code 再起動で有効化される
 
-### 残る既知の課題
-- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げない（JWT 導入まで）
+### 残る既知の課題（2026-04-11 時点、一部は上記で解消済み）
 - **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/store（カスタムテーマ以外）
 
 ## 直近でやったこと（2026-04-11 セッション2）