* docs: prepare Vendoo 1.41.2 git-ignore boundary hotfix * fix: track native source modules with root-anchored runtime ignores
1.2 KiB
Security Foundation 1.37.0
Secret Provider
Der aktuelle Provider verschlüsselt jeden Wert einzeln mit AES-256-GCM und zufälliger 96-Bit-IV. Authentifizierungstag, IV und Ciphertext werden gespeichert; der Master-Key liegt getrennt. Schreibvorgänge erfolgen atomar über eine temporäre Datei und restriktive Dateirechte.
Vertrauensgrenzen
- Browser erhält nur
configured,masked,providerund Zeitstempel. - Klarwerte werden nur im Serverprozess entschlüsselt.
- Nur bekannte Secret-Namen sind zulässig.
- Nicht editierbare OAuth-Tokens können nicht über die generische Secret-API geändert werden.
- Policy
security.secrets.manageschützt alle Secret-Routen.
CSP
script-src erlaubt ausschließlich Same-Origin und den bestehenden jsDelivr-Abhängigkeitspfad. script-src-attr 'none' blockiert Inline-Eventhandler. Inline-Stile bleiben vorübergehend erlaubt, bis die Legacy-Oberfläche vollständig tokenisiert und modularisiert ist.
Observability
Request- und Correlation-IDs werden in Response-Headern zurückgegeben. Die In-Memory-Telemetrie speichert keine Request-Bodies, Querywerte, Cookies oder Authorization-Header. Die letzten Einträge enthalten nur Methode, Pfad, Status, Dauer und Benutzer-ID.