docs: Dashboard bleibt Heimnetz-only (Bernd Nr. 3) – ROADMAP-Punkt geschlossen, Doku nachgezogen, Nr.-4-Vermerk am Secrets-Punkt

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
This commit is contained in:
Bernd Steckmeister
2026-07-05 14:53:27 +02:00
parent 81ec06398f
commit 66bf54bdff
4 changed files with 76 additions and 20 deletions
+20 -16
View File
@@ -1,17 +1,19 @@
# Dashboard-Server absichern: Admin-Endpoints haben KEINE Authentifizierung
**Status (aktualisiert 2026-07-04): Das akute Loch ist mit einem INTERIMS-GATE
geschlossen („Weg C", siehe unten)** die fünf Admin-Endpoints akzeptieren nur
noch Anfragen aus dem Heimnetz/localhost; alles, was über den Cloudflare-Tunnel
kommt, bekommt 403 mit einer Erklärung (die das Dashboard per `alert()` anzeigt).
Bernds Dashboard funktioniert im Heimnetz unverändert unter
`http://192.168.178.71:8080/stats.html`; die öffentliche URL zeigt weiterhin die
Ansicht, nur die Admin-Buttons sind dort gesperrt. **Offen bleibt Bernds
Entscheidung Weg A (Cloudflare Access, empfohlen) oder Weg B (DASH_TOKEN), falls
er die Admin-Buttons auch von unterwegs braucht** das Gate ersetzt die
Entscheidung nicht, es stopft nur das Loch, solange sie aussteht.
**Status (ABGESCHLOSSEN 2026-07-05): Das Loch ist mit dem Heimnetz-Gate
(„Weg C", siehe unten) geschlossen, und Bernd hat entschieden
(`ANTWORTEN_BERND.md` Nr. 3): KEIN Fernzugriff das Gate ist der ENDZUSTAND.**
Die fünf Admin-Endpoints akzeptieren nur noch Anfragen aus dem
Heimnetz/localhost; alles, was über den Cloudflare-Tunnel kommt, bekommt 403 mit
einer Erklärung (die das Dashboard per `alert()` anzeigt). Bernds Dashboard
funktioniert im Heimnetz unverändert unter
`http://192.168.178.71:8080/stats.html`; unterwegs kommt Bernd per WireGuard ins
Heimnetz. Die A/B-Frage (Cloudflare Access vs. `DASH_TOKEN`) ist damit
GESCHLOSSEN die Optionen unten bleiben nur als Archiv stehen, falls sich der
Bedarf je ändert. Die unten dokumentierten Restrisiken des Gates sind bewusst
akzeptiert. **Nicht weiter an diesem Thema arbeiten.**
## Interims-Gate („Weg C", aktiv seit 2026-07-04)
## Heimnetz-Gate („Weg C", aktiv seit 2026-07-04, seit 2026-07-05 Endzustand)
In `server.py` (Konstante `ADMIN_PATHS` + Helfer `lan_denied_reason`): eine
Admin-POST-Anfrage wird nur angenommen, wenn (1) **kein** `Cf-Connecting-Ip`/
@@ -25,8 +27,8 @@ erreicht (400 bei leerem Nutzer), gespoofter Cf-Header aus dem LAN → 403,
`/api/e2ee-diagnostics` (403 bei falschem Token) unverändert öffentlich
erreichbar (die App braucht sie, eigene Auth vorhanden).
**Bekannte Restrisiken des Interims-Gates (Gründe, warum Weg A trotzdem kommen
sollte):**
**Bekannte Restrisiken des Gates (Bernd bekannt und bewusst akzeptiert,
Entscheidung 2026-07-05):**
- Die **öffentliche Ansicht bleibt offen** und zeigt Nutzerliste + Präsenz
(Informations-Preisgabe). Weg A würde auch das schließen.
- **CSRF aus dem Heimnetz:** Eine bösartige Webseite in Bernds Browser könnte
@@ -168,6 +170,8 @@ Bernds Richtungsentscheidung. Das später ergänzte Interims-Gate umgeht dieses
Dilemma: Es braucht keinerlei Aktion von Bernd (Heimnetz-Nutzung läuft
unverändert weiter, inkl. spontanem Spam-Bann von zu Hause), sperrt aber
Fremde aus dem Internet sofort aus. Einzige Einschränkung: Admin-Buttons über
die öffentliche URL gehen bis zur A/B-Entscheidung nicht die 403-Meldung im
Dashboard erklärt das und nennt die Heimnetz-URL. Rückbau = die Gate-Zeilen in
`server.py` entfernen (Backup: `server.py.bak-20260704-dashgate`).
die öffentliche URL gehen nicht die 403-Meldung im Dashboard erklärt das und
nennt die Heimnetz-URL. Mit Bernds Entscheidung vom 2026-07-05 (Heimnetz-only,
unterwegs WireGuard) ist genau dieser Zustand der gewollte Endzustand. Rückbau
(falls je nötig) = die Gate-Zeilen in `server.py` entfernen
(Backup: `server.py.bak-20260704-dashgate`).