security: Admin-Token aus Client entfernen (E2EE-Diagnose entkoppeln)
Der Dashboard-Server benutzte fuer /api/e2ee-diagnostics denselben String wie den Matrix-Admin-Token, weshalb der Client den vollen Server-Admin-Token einbetten musste (jeder Nutzer, auch Uta, trug ihn im Geraet). - server.py (Pi): eigener, eng begrenzter DIAG_TOKEN statt Admin-TOKEN - settings_encryption.dart: benutzt den neuen Diagnose-Token - grep J5lax lib/ jetzt leer; Endpoint verifiziert (neu 200, alt 403) Admin-Token-Rotation bleibt offen (Bernds Sache, ROADMAP M0). Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
This commit is contained in:
@@ -1224,3 +1224,7 @@
|
||||
2026-07-04 03:31 [Edit] /home/steggi/pyramid/PROGRESS.md
|
||||
2026-07-04 03:32 [Edit] /home/steggi/pyramid/PROGRESS.md
|
||||
2026-07-04 03:32 [Edit] /home/steggi/pyramid/ROADMAP.md
|
||||
2026-07-04 04:01 [Edit] /home/steggi/matrix/server.py
|
||||
2026-07-04 04:02 [Edit] /home/steggi/pyramid/lib/widgets/settings/settings_encryption.dart
|
||||
2026-07-04 04:03 [Edit] /home/steggi/pyramid/ROADMAP.md
|
||||
2026-07-04 04:03 [Edit] /home/steggi/pyramid/PROGRESS.md
|
||||
|
||||
Reference in New Issue
Block a user