chore: Vercel posimai-sc Root Directory 設定完了を STATUS に記録

chore: STATUS に Together セキュリティ強化の完了記録を追記（2026-04-19〜20）
2026-04-20 08:31:16 +09:00 · 2026-04-20 08:03:11 +09:00
1 changed files with 20 additions and 3 deletions
--- a/STATUS.md
+++ b/STATUS.md
@ -8,7 +8,6 @@

 ## mai のPC から実行待ち

- **posimai-sc（Vercel）**: Project Settings > General > **Root Directory** を必ず **`posimai-sc`** に設定すること。未設定のまま `posimai-root` へ push すると、本番デプロイがリポジトリルート扱いになり **`sc.posimai.soar-enrich.com` が Vercel の 404（NOT_FOUND）になる**ことがある（DNS ではなくデプロイ成果物の不一致）。再発時は `cd posimai-sc && npx vercel deploy --prod --yes` で正しい静的ファイルを出したあと、`npx vercel alias set <そのデプロイURL> sc.posimai.soar-enrich.com` でカスタムドメインを張り直す。Root Directory 設定後は Git push のみでよい。
 - **posimai-boki** は独立リポジトリで Gitea/GitHub へ push 済み。追加分を出したときは `cd posimai-boki && npm run deploy`

 ## 次にやること（優先順）
@ -100,6 +99,12 @@ node_modules/.bin/tauri build
 | Redis 移行（webauthnChallenges） | スケール要件が出てから | 現状インメモリで問題なし |
 | **Brain アクセントカラー確定** | mai 判断 | 2026-04-19 に indigo (`#818CF8`) → teal (`#6EE7B7`) へ変更。Posimai 標準に合わせたが、Brain は読書アプリとして indigo の方が雰囲気に合う可能性あり。indigo に戻す場合は `[data-app-id="posimai-brain"] { --accent: #818CF8; --accent-dim: rgba(129,140,248,.12); }` を style.css に追加。 |

+## 直近でやったこと（2026-04-20 — posimai-sc 完了）
+
+- **posimai-sc**: drills.js（S01〜S20 各2問）・manifest.json・sw.js・vercel.json・package.json 追加。Vercel プロジェクト接続・カスタムドメイン設定・エコシステム全登録（[OK]確認済み）
+- **Vercel Root Directory**: Vercel API PATCH で `rootDirectory: "posimai-sc"` に設定完了（2026-04-20）。以後 `git push` のみで本番更新可能
+- **残タスク（任意）**: 教材ファクトチェック・logo.png の SC 専用差し替え
+
 ## 直近でやったこと（2026-04-18 — posimai-boki）

 - **リポジトリ**: `posimai-boki` 独立リポジトリ（Gitea/GitHub）。`npm run deploy` = 両リモート push → Vercel 自動デプロイ
@ -125,6 +130,19 @@ node_modules/.bin/tauri build
 - **`clientIp.ts`**: `x-forwarded-for` の最後のエントリを使うよう変更（スプーフィング耐性向上）。IP 形式検証追加
 - デプロイ済み（Vercel 自動デプロイ中）

+## 直近でやったこと（2026-04-19〜20 Together セキュリティ強化）
+
+### Together 安全性修正（全て VPS 反映済み・Eiji/Nanami への影響なし）
+- **JWT legacy fallback なりすまし穴修正**（`96f22b6`）: legacy path は warn ログのみ、user_id 紐付きは厳格チェック
+- **GET /together/groups/:groupId 認証なし invite_code 露出修正**（`222238f`）: `?u=username` + `togetherEnsureMember` でメンバーのみ返却。フロントは `?u=${currentUser}` 送信済みで整合している
+- **together_members.user_id バックフィル**: 起動時 SQL で `users` テーブルと username 一致行を自動紐付け
+- **UI バグ修正**: 未読ドットに `event.stopPropagation()`、設定パネルに invite_code 表示、名前フィールド変更時データ消失を解消
+
+### 残る既知のリスク（商用前に対応）
+- グループ作成・参加エンドポイントはまだ認証なし（mai + Eiji のみ運用で許容）
+- JWT 必須化（legacy path 完全削除）は user_id 紐付けが全グループで完了してから
+- together_members の user_id バックフィルが空振りしていないか要確認: `SELECT username, user_id FROM together_members;`（PostgreSQL MCP 経由）
+
 ## 直近でやったこと（2026-04-11 セッション3）

 ### セキュリティ修正・コード品質改善（批判的コードレビュー対応）
@ -133,8 +151,7 @@ node_modules/.bin/tauri build
 - **feed XSS 修正**: `onclick="openInReader('${article.url}', ...)"` の URL 直接埋め込みを `data-url` 属性 + イベント委任に変更 → デプロイ済み
 - **PostgreSQL MCP**: 前セッションで完了（SSH トンネル設定・start-postgres-mcp.sh 作成）。Claude Code 再起動で有効化される

-### 残る既知の課題
- **Together 完全な認証**: member チェックはあるが member-to-member なりすましは防げない（JWT 導入まで）
+### 残る既知の課題（2026-04-11 時点、一部は上記で解消済み）
 - **9アプリ base.css 未移行**: feed/maps/hotels/reader/journal/daily/events/timer/store（カスタムテーマ以外）

 ## 直近でやったこと（2026-04-11 セッション2）
Author	SHA1	Message	Date
posimai	89a0fef301	chore: Vercel posimai-sc Root Directory 設定完了を STATUS に記録	2026-04-20 08:31:16 +09:00
posimai	b7e40ace8e	chore: STATUS に Together セキュリティ強化の完了記録を追記（2026-04-19〜20）	2026-04-20 08:03:11 +09:00