455742d1bf
server.py (auf dem Pi, nicht im Repo): /api/ban, /api/unban, /api/toggle-registration, /api/create-invite, /api/run-stats nur noch fuer Heimnetz-/localhost-Socket-IPs ohne Cloudflare-Header; sonst 403 mit Erklaerung. Headless verifiziert (9 Pruefungen). Bernds A/B-Entscheidung fuer den Fernzugriff bleibt offen (docs/DASHBOARD_AUTH_HARDENING.md). Zusatzbefund: Repo privat schalten wuerde In-App-Updater brechen (ROADMAP). Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>