Till JS 5a29dd9a8c security(cards): CSP report-only + service-key rotation playbook ... Folge-Hardening zu e1ddbf3, Cluster A2+A3 aus FEATURE_IDEAS. * hooks.server.ts: restriktive CSP im Report-Only-Modus (default-src 'self', script-src 'self', connect-src whitelist auf cardecky-api/auth.mana.how/share/mcp). CARDS_CSP_ENFORCE=true flippt auf den scharfen Header. * docs/playbooks/SERVICE_KEY_ROTATION.md: 5-Schritt-Rotation für CARDS_DSGVO_SERVICE_KEY bis Phase F-1 (mana-auth-managed Keys). Forensik der Bypass-Periode 2026-05-08 → 2026-05-12 ist abgeschlossen: nur 2 user_ids in der Cards-DB, beide legitim (tills95@gmail.com + Smoke-Test-Sentinel c1a5, letztere via DSGVO-Endpoint aufgeräumt). Kein ausgenutzter Bypass. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>		2026-05-12 18:40:29 +02:00
..
deck_ideas	refactor(marketplace): UI-Verbesserungen, MarketplaceDeckStack, Explore-Icons	2026-05-10 16:00:11 +02:00
marketplace	feat(study): Periodensystem-Karten mit Kategorie-Farben und Eigenschaften-Tabelle	2026-05-10 14:38:48 +02:00
playbooks	security(cards): CSP report-only + service-key rotation playbook	2026-05-12 18:40:29 +02:00
FEATURE_IDEAS.md	security(cards): CSP report-only + service-key rotation playbook	2026-05-12 18:40:29 +02:00
LESSONS_FROM_MANA_MONOREPO.md	Phase 0+1: Repo-Skelett für Cards-Greenfield	2026-05-08 14:08:41 +02:00
SMOKE_TEST.md	docs: SMOKE_TEST.md — verifizierter E2E-Lauf gegen lokale Postgres	2026-05-08 16:43:07 +02:00