Files
vendoo/docs/architecture/SECURITY_FOUNDATION_1_37_0.md
Masterluke77andGitHub 6f48827f4d Vendoo 1.41.2 – Git Ignore Boundary & Module Tracking Hotfix (#18)
* docs: prepare Vendoo 1.41.2 git-ignore boundary hotfix

* fix: track native source modules with root-anchored runtime ignores
2026-07-09 17:09:00 +02:00

1.2 KiB

Security Foundation 1.37.0

Secret Provider

Der aktuelle Provider verschlüsselt jeden Wert einzeln mit AES-256-GCM und zufälliger 96-Bit-IV. Authentifizierungstag, IV und Ciphertext werden gespeichert; der Master-Key liegt getrennt. Schreibvorgänge erfolgen atomar über eine temporäre Datei und restriktive Dateirechte.

Vertrauensgrenzen

  • Browser erhält nur configured, masked, provider und Zeitstempel.
  • Klarwerte werden nur im Serverprozess entschlüsselt.
  • Nur bekannte Secret-Namen sind zulässig.
  • Nicht editierbare OAuth-Tokens können nicht über die generische Secret-API geändert werden.
  • Policy security.secrets.manage schützt alle Secret-Routen.

CSP

script-src erlaubt ausschließlich Same-Origin und den bestehenden jsDelivr-Abhängigkeitspfad. script-src-attr 'none' blockiert Inline-Eventhandler. Inline-Stile bleiben vorübergehend erlaubt, bis die Legacy-Oberfläche vollständig tokenisiert und modularisiert ist.

Observability

Request- und Correlation-IDs werden in Response-Headern zurückgegeben. Die In-Memory-Telemetrie speichert keine Request-Bodies, Querywerte, Cookies oder Authorization-Header. Die letzten Einträge enthalten nur Methode, Pfad, Status, Dauer und Benutzer-ID.