Files
vendoo/docs/RELEASE_1_31_0_MULTIUSER_SECURITY.md
Masterluke77andGitHub 6f48827f4d Vendoo 1.41.2 – Git Ignore Boundary & Module Tracking Hotfix (#18)
* docs: prepare Vendoo 1.41.2 git-ignore boundary hotfix

* fix: track native source modules with root-anchored runtime ignores
2026-07-09 17:09:00 +02:00

1.4 KiB
Raw Permalink Blame History

Vendoo 1.31.0 Mehrbenutzer- und Server-Sicherheitsgrundlage

Ziel

Version 1.31.0 führt eine belastbare Grundlage für mehrere Benutzer und einen bewusst freigegebenen LAN-/Serverbetrieb ein. Bestehende Daten werden additiv migriert.

Rollen

  • Administrator: Vollzugriff einschließlich Benutzer, Sitzungen, Backups, Updates und Sicherheit.
  • Manager: operative Leitung ohne Benutzer- und Systemverwaltung.
  • Editor: Artikel, Medien, AI/FLUX, Bildproduktion und Qualität.
  • Publisher: Prüfung und Veröffentlichung bei schreibgeschützten Artikelstammdaten.
  • Leser: reiner Lesezugriff.

Sicherheitsverträge

  • Jede geschützte API wird serverseitig auf eine Berechtigung geprüft.
  • Sitzungen besitzen absolute und inaktive Laufzeiten und können widerrufen werden.
  • Wiederholte Fehlanmeldungen sperren das Konto zeitweise.
  • Neue Passwörter benötigen mindestens zehn Zeichen, Klein-/Großbuchstaben, Zahl und Sonderzeichen.
  • Artikelbearbeitung verwendet kurzlebige persistente Sperren.
  • Standard-Bind-Adresse ist 127.0.0.1; LAN-Betrieb muss ausdrücklich aktiviert werden.
  • Host, Origin, Proxy-Vertrauen und Rate Limits sind über .env konfigurierbar.
  • Sicherheitsrelevante Aktionen und verweigerte Berechtigungen werden protokolliert.

Nicht Bestandteil dieser Abnahme

Ein realer Windows-/NAS-/Reverse-Proxy-Lauf, echtes HTTPS, Firewallregeln und parallele Browser-Sitzungen müssen auf dem Zielsystem geprüft werden.