chore: STATUS に Together セキュリティ強化の完了記録を追記（2026-04-19〜20）

STATUS.md

@@ -125,6 +125,19 @@ node_modules/.bin/tauri build
 - **`clientIp.ts`**: `x-forwarded-for` の最後のエントリを使うよう変更（スプーフィング耐性向上）。IP 形式検証追加
 - デプロイ済み（Vercel 自動デプロイ中）
 
+## 直近でやったこと（2026-04-19〜20 Together セキュリティ強化）
+
+### Together 安全性修正（全て VPS 反映済み・Eiji/Nanami への影響なし）
+- **JWT legacy fallback なりすまし穴修正**（`96f22b6`）: legacy path は warn ログのみ、user_id 紐付きは厳格チェック
+- **GET /together/groups/:groupId 認証なし invite_code 露出修正**（`222238f`）: `?u=username` + `togetherEnsureMember` でメンバーのみ返却。フロントは `?u=${currentUser}` 送信済みで整合している
+- **together_members.user_id バックフィル**: 起動時 SQL で `users` テーブルと username 一致行を自動紐付け
+- **UI バグ修正**: 未読ドットに `event.stopPropagation()`、設定パネルに invite_code 表示、名前フィールド変更時データ消失を解消
+
+### 残る既知のリスク（商用前に対応）
+- グループ作成・参加エンドポイントはまだ認証なし（mai + Eiji のみ運用で許容）
+- JWT 必須化（legacy path 完全削除）は user_id 紐付けが全グループで完了してから
+- together_members の user_id バックフィルが空振りしていないか要確認: `SELECT username, user_id FROM together_members;`（PostgreSQL MCP 経由）
+
 ## 直近でやったこと（2026-04-11 セッション3）
 
 ### セキュリティ修正・コード品質改善（批判的コードレビュー対応）
@@ -133,8 +146,7 @@ node_modules/.bin/tauri build
 - **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
 - **PostgreSQL MCP**: 前セッションで完了（SSH トンネル設定・start-postgres-mcp.sh 作成）。Claude Code 再起動で有効化される
 
-### 残る既知の課題
+### 残る既知の課題（2026-04-11 時点、一部は上記で解消済み）
-- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げない（JWT 導入まで）
 - **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/store（カスタムテーマ以外）
 
 ## 直近でやったこと（2026-04-11 セッション2）