chore: STATUS に Together セキュリティ強化の完了記録を追記(2026-04-19〜20)

This commit is contained in:
posimai 2026-04-20 08:03:11 +09:00
parent 3440bc7a35
commit b7e40ace8e
1 changed files with 14 additions and 2 deletions

View File

@ -125,6 +125,19 @@ node_modules/.bin/tauri build
- **`clientIp.ts`**: `x-forwarded-for` の最後のエントリを使うよう変更スプーフィング耐性向上。IP 形式検証追加 - **`clientIp.ts`**: `x-forwarded-for` の最後のエントリを使うよう変更スプーフィング耐性向上。IP 形式検証追加
- デプロイ済みVercel 自動デプロイ中) - デプロイ済みVercel 自動デプロイ中)
## 直近でやったこと2026-04-19〜20 Together セキュリティ強化)
### Together 安全性修正(全て VPS 反映済み・Eiji/Nanami への影響なし)
- **JWT legacy fallback なりすまし穴修正**`96f22b6`: legacy path は warn ログのみ、user_id 紐付きは厳格チェック
- **GET /together/groups/:groupId 認証なし invite_code 露出修正**`222238f`: `?u=username` + `togetherEnsureMember` でメンバーのみ返却。フロントは `?u=${currentUser}` 送信済みで整合している
- **together_members.user_id バックフィル**: 起動時 SQL で `users` テーブルと username 一致行を自動紐付け
- **UI バグ修正**: 未読ドットに `event.stopPropagation()`、設定パネルに invite_code 表示、名前フィールド変更時データ消失を解消
### 残る既知のリスク(商用前に対応)
- グループ作成・参加エンドポイントはまだ認証なしmai + Eiji のみ運用で許容)
- JWT 必須化legacy path 完全削除)は user_id 紐付けが全グループで完了してから
- together_members の user_id バックフィルが空振りしていないか要確認: `SELECT username, user_id FROM together_members;`PostgreSQL MCP 経由)
## 直近でやったこと2026-04-11 セッション3 ## 直近でやったこと2026-04-11 セッション3
### セキュリティ修正・コード品質改善(批判的コードレビュー対応) ### セキュリティ修正・コード品質改善(批判的コードレビュー対応)
@ -133,8 +146,7 @@ node_modules/.bin/tauri build
- **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み - **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
- **PostgreSQL MCP**: 前セッションで完了SSH トンネル設定・start-postgres-mcp.sh 作成。Claude Code 再起動で有効化される - **PostgreSQL MCP**: 前セッションで完了SSH トンネル設定・start-postgres-mcp.sh 作成。Claude Code 再起動で有効化される
### 残る既知の課題 ### 残る既知の課題2026-04-11 時点、一部は上記で解消済み)
- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げないJWT 導入まで)
- **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/storeカスタムテーマ以外 - **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/storeカスタムテーマ以外
## 直近でやったこと2026-04-11 セッション2 ## 直近でやったこと2026-04-11 セッション2