security(cards): CSP report-only + service-key rotation playbook
Some checks are pending
CI / validate (push) Waiting to run
Some checks are pending
CI / validate (push) Waiting to run
Folge-Hardening zu e1ddbf3, Cluster A2+A3 aus FEATURE_IDEAS.
* hooks.server.ts: restriktive CSP im Report-Only-Modus
(default-src 'self', script-src 'self', connect-src whitelist
auf cardecky-api/auth.mana.how/share/mcp). CARDS_CSP_ENFORCE=true
flippt auf den scharfen Header.
* docs/playbooks/SERVICE_KEY_ROTATION.md: 5-Schritt-Rotation für
CARDS_DSGVO_SERVICE_KEY bis Phase F-1 (mana-auth-managed Keys).
Forensik der Bypass-Periode 2026-05-08 → 2026-05-12 ist abgeschlossen:
nur 2 user_ids in der Cards-DB, beide legitim (tills95@gmail.com +
Smoke-Test-Sentinel c1a5, letztere via DSGVO-Endpoint aufgeräumt).
Kein ausgenutzter Bypass.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
Till JS
parent
e1ddbf34b3
commit
5a29dd9a8c
3 changed files with 164 additions and 14 deletions
|
|
@ -277,10 +277,15 @@ einiges:
|
|||
DENY, X-Content-Type-Options nosniff, Referrer-Policy
|
||||
strict-origin-when-cross-origin, plus HSTS (180 Tage,
|
||||
includeSubDomains) wenn `NODE_ENV=production`.
|
||||
- **CSP bewusst ausgespart** — eine richtige Content-Security-
|
||||
Policy braucht Browser-Test (inline-styles, Theme-Assets,
|
||||
Markdown-Renderer). Eigener Sprint. SVG-Upload-Risiko (oben)
|
||||
bleibt bis dahin ungemildert.
|
||||
- **CSP läuft Report-Only seit 2026-05-12.** `hooks.server.ts`
|
||||
setzt `Content-Security-Policy-Report-Only` mit restriktiver
|
||||
Policy (default-src 'self', script-src 'self', img-src
|
||||
'self' data: blob:, connect-src whitelist auf
|
||||
cardecky-api/auth.mana.how/share/mcp). Violations laufen in
|
||||
die Browser-DevTools-Console. Nach 1-2 Tagen Live-Beobachtung
|
||||
via `CARDS_CSP_ENFORCE=true` auf Enforce flippen. SVG-Upload-
|
||||
Risiko ist dann gemildert (script-src verbietet inline-JS in
|
||||
SVG-Inlinen).
|
||||
- **CORS lässt `localhost` in Prod durch — gebaut 2026-05-12,
|
||||
noch nicht deployed.** Live-Probe hatte
|
||||
`Access-Control-Allow-Origin: http://localhost:9999` gezeigt.
|
||||
|
|
@ -291,10 +296,10 @@ einiges:
|
|||
`/api/v1/me/delete` (Self-Service) liefern jetzt `storage_ok: true|false`
|
||||
+ optional `storage_error` im Response. Frontend zeigt im
|
||||
Account-Delete-Flow eine Fehler-Toast wenn `storage_ok=false`.
|
||||
- **Service-Key-Rotation** — ein statisches `CARDS_DSGVO_SERVICE_KEY`
|
||||
in env, kein Revoke. Phase F-1 ist in `service-key.ts:11`
|
||||
geplant (Verifikation gegen `mana-auth.apps.app_service_keys`).
|
||||
Bis dahin: Rotation-Playbook in `docs/playbooks/` festschreiben.
|
||||
- **Service-Key-Rotation-Playbook — gebaut 2026-05-12.**
|
||||
`docs/playbooks/SERVICE_KEY_ROTATION.md` mit 5-Schritt-Rotation,
|
||||
Tabus, Phase-F-1-Übergang. Bis die mana-auth-managed Variante
|
||||
fertig ist, ist das die SoT.
|
||||
|
||||
---
|
||||
|
||||
|
|
|
|||
121
docs/playbooks/SERVICE_KEY_ROTATION.md
Normal file
121
docs/playbooks/SERVICE_KEY_ROTATION.md
Normal file
|
|
@ -0,0 +1,121 @@
|
|||
# Service-Key-Rotation — Cards
|
||||
|
||||
Stand: 2026-05-12.
|
||||
|
||||
`CARDS_DSGVO_SERVICE_KEY` ist heute ein **statischer** Service-Key,
|
||||
gegen den `apps/api/src/middleware/service-key.ts` constant-time-
|
||||
vergleicht. mana-admin verwendet ihn für DSGVO-Fan-Out
|
||||
(`POST /api/v1/dsgvo/{export,delete}`).
|
||||
|
||||
Bis Phase F-1 die Verifikation gegen `mana-auth.apps.app_service_keys`
|
||||
ersetzt, bleibt Rotation manuell. Dieses Playbook hält den Ablauf
|
||||
festgenagelt.
|
||||
|
||||
---
|
||||
|
||||
## Wann rotieren
|
||||
|
||||
- **Sofort** bei Verdacht auf Leak (Logs, env-Datei, Container-Image,
|
||||
alte Backups, geleakte Screenshots).
|
||||
- **Routinemäßig** alle 6 Monate.
|
||||
- **Nach Personalwechsel** in der Plattform-Crew.
|
||||
- **Nach jeder Notfall-`docker compose exec`-Session**, in der der
|
||||
Key sichtbar war.
|
||||
|
||||
## Rotation in 5 Schritten
|
||||
|
||||
### 1. Neuen Key generieren
|
||||
|
||||
```bash
|
||||
openssl rand -hex 32
|
||||
# Beispiel: msk_2cfa7… (Prefix nach Konvention msk_ für „Mana Service Key")
|
||||
```
|
||||
|
||||
### 2. Neuen Key auf der Prod-Box eintragen
|
||||
|
||||
```bash
|
||||
ssh mana-server
|
||||
cd ~/projects/cards
|
||||
nano infrastructure/.env.production
|
||||
# CARDS_DSGVO_SERVICE_KEY=msk_<neu> ← ersetzen
|
||||
```
|
||||
|
||||
`.env.production` ist git-ignored und liegt ausschließlich auf der
|
||||
Box. Nicht ins Repo committen.
|
||||
|
||||
### 3. cards-api neustarten
|
||||
|
||||
```bash
|
||||
docker compose -f infrastructure/docker-compose.production.yml \
|
||||
--env-file infrastructure/.env.production \
|
||||
up -d cards-api
|
||||
```
|
||||
|
||||
Kein Rebuild nötig — env-only-Change.
|
||||
|
||||
### 4. Neuen Key bei den Callern eintragen
|
||||
|
||||
Aktueller Single-Caller: **mana-admin**.
|
||||
|
||||
```bash
|
||||
# mana-Plattform: env-Datei für mana-admin updaten + Service neustarten
|
||||
ssh mana-server
|
||||
cd ~/projects/mana
|
||||
nano .env.production
|
||||
# CARDS_DSGVO_SERVICE_KEY_FOR_FANOUT=msk_<neu> ← oder wie auch immer
|
||||
# die mana-admin-env-Variable benannt ist
|
||||
docker compose -f infrastructure/docker-compose.production.yml \
|
||||
up -d mana-admin
|
||||
```
|
||||
|
||||
Wenn weitere S2S-Caller dazukommen (z.B. mana-research): hier
|
||||
ergänzen.
|
||||
|
||||
### 5. Verifizieren + alten Key invalidiert
|
||||
|
||||
```bash
|
||||
# Alter Key MUSS jetzt 401 geben:
|
||||
curl -i -H "X-Service-Key: <alter-key>" \
|
||||
https://cardecky-api.mana.how/api/v1/dsgvo/export?user_id=...
|
||||
# Erwartet: 401 service_key_invalid
|
||||
|
||||
# Neuer Key MUSS funktionieren:
|
||||
curl -i -H "X-Service-Key: <neuer-key>" \
|
||||
https://cardecky-api.mana.how/api/v1/dsgvo/export?user_id=...
|
||||
# Erwartet: 200 mit JSON-Bundle
|
||||
```
|
||||
|
||||
Audit-Log-Zeile prüfen:
|
||||
```bash
|
||||
docker logs cards-api --since 5m | grep '"event":"dsgvo.export"' | tail
|
||||
```
|
||||
Sollte den letzten erfolgreichen Aufruf mit `auth_mode: "service-key"`
|
||||
zeigen.
|
||||
|
||||
---
|
||||
|
||||
## Was nach Phase F-1 anders wird
|
||||
|
||||
Phase F-1 ersetzt die `serviceKeyAuth()`-Middleware durch
|
||||
Verifikation gegen `mana-auth.apps.app_service_keys`. Damit:
|
||||
|
||||
- Keys leben in der DB, nicht in env.
|
||||
- Rotation = `UPDATE apps.app_service_keys SET key_hash = … WHERE app_id = 'cards'`.
|
||||
- Multiple Keys parallel möglich (overlap-Rotation ohne Downtime).
|
||||
- Revocation via Soft-Delete-Flag.
|
||||
|
||||
Bis dahin: dieses Playbook.
|
||||
|
||||
---
|
||||
|
||||
## Tabu
|
||||
|
||||
- **Nie** den Service-Key in Commit-Messages, PR-Beschreibungen oder
|
||||
Chat-Threads klartext hinschreiben.
|
||||
- **Nie** im selben Step neuen Key generieren *und* alten Caller
|
||||
weiterlaufen lassen — kurz Downtime ist OK, blindes Doppel-
|
||||
Akzeptieren ist es nicht. (Die Middleware hat heute nur einen
|
||||
Slot.)
|
||||
- **Nie** `CARDS_DSGVO_SERVICE_KEY` im Compose-File hart vorgeben —
|
||||
bleibt env-var-Reference (`${CARDS_DSGVO_SERVICE_KEY:?missing}`),
|
||||
damit der Compose-Default „fail-loud" ist.
|
||||
Loading…
Add table
Add a link
Reference in a new issue