robin/kanban
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
59b1f000b93ac4d82061d6430790081a61d78a8b
kanban/docs/audits/2026-05-19-repo-audit.md
Robin Choice 9e3ce14d81 chore: session checkpoint 2026-05-19 — AGENTS.md + CLAUDE-Symlink 
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-19 23:47:11 +02:00

68 lines
4.9 KiB
Markdown
Raw Blame History

# Repo-Audit
Datum: 2026-05-19
Scope: vollstaendiges Repo
Status: solide mit Risiken
## Kurzfazit
- Kritischste Themen: persistente HTML-/Script-Injection ueber `innerHTML`, unsichere Markdown-Link-Behandlung, Funktionsabweichungen bei Reset und Task-Erzeugung
## Reproduzierbarkeit
Vor dem Audit wurden die verfuegbaren automatisierten Checks ueber `./scripts/verify-repo.sh` ausgefuehrt.
## Findings
1. [High] Persistente HTML-/Script-Injection ueber unescaped User-State
Datei: `index.html:1505-1513`, `index.html:1621-1627`, `index.html:2084-2120`, `index.html:2298-2313`
Problem: Mehrere Renderer schreiben benutzerkontrollierte Werte direkt per `innerHTML` ins DOM, ohne sie vorher zu escapen, z. B. `task.t`, `idea.text`, Board-Namen und Gruppennamen. Diese Werte kommen aus Inputs, `contenteditable`, `prompt()` und `localStorage`.
Warum es zaehlt: Ein Eintrag wie `<img src=x onerror=...>` wird persistent gespeichert und bei jedem Render erneut ausgefuehrt.
Empfehlung: Alle benutzerkontrollierten Texte konsequent mit `escapeHtml()` behandeln oder DOM-Knoten per `textContent`/`createElement` aufbauen statt HTML-Strings zu interpolieren.
2. [High] Markdown-Renderer erlaubt `javascript:`-Links
Datei: `index.html:1953-2017`, insbesondere `index.html:2007`
Problem: Der Markdown-Parser escaped zwar HTML, uebernimmt aber Link-Ziele ungeprueft in `<a href="$2" target="_blank">`. Ein Markdown-Link wie `[x](javascript:alert(1))` bleibt klickbar.
Warum es zaehlt: Jede geladene `.md`-Datei kann so aktiven Script-Code hinter einem scheinbar normalen Link verstecken.
Empfehlung: Link-Protokolle whitelisten (`http:`, `https:`, ggf. `file:`) und alles andere verwerfen oder als reinen Text rendern. Zusaetzlich `rel="noopener noreferrer"` setzen.
3. [High] `Reset` setzt nicht auf `DEFAULTS` zurueck, sondern nur die Spalten
Datei: `SPEC.md:112`, `index.html:1012-1023`
Problem: Laut Spec soll `↺ Reset` das aktuelle Board auf `DEFAULTS` zuruecksetzen. Implementiert wird aber nur `cols = deepClone(DEFAULTS[curId].cols)`. Name, Goal, WIP-Limit, Throughput, SLE, Focus und `overview` bleiben erhalten.
Warum es zaehlt: Der sichtbare UX-Vertrag stimmt nicht mit dem Verhalten ueberein; ein Reset hinterlaesst versteckte Altzustaende.
Empfehlung: Das gesamte Default-Board zurueckkopieren und danach nur `group/color/ring` aus `BOARD_META` wieder anwenden.
4. [Medium] Aus Ideen erzeugte Tasks bekommen kein `movedAt`
Datei: `SPEC.md:137-138`, `index.html:1343-1349`, `index.html:2252-2260`
Problem: Beim Droppen einer Idee auf ein Board oder beim Promote-Dialog wird nur `{ t: idea.text }` angelegt. `movedAt` fehlt, obwohl es laut Datenmodell Grundlage fuer Aging ist.
Warum es zaehlt: Diese Tasks altern nie sichtbar und verfaelschen die Board-Signale gegenueber regulaer angelegten Karten.
Empfehlung: Beim Erzeugen aus Ideen dieselbe Initialisierung wie in `addCard()` verwenden, inklusive `movedAt = Date.now()`.
5. [Medium] "Maskierte" Secrets liegen im Klartext in `localStorage` und im DOM
Datei: `SPEC.md:52`, `index.html:906-964`, `index.html:1740-1746`
Problem: Der Secrets-Bereich ist nur optisch maskiert. Die Werte werden vollstaendig in `kanban_v2` gespeichert und zusaetzlich als `data-value`/`data-copy` ins DOM geschrieben.
Warum es zaehlt: Bei XSS, gemeinsam genutztem Browser-Profil oder lokalem Zugriff sind die Daten sofort auslesbar; die UI suggeriert mehr Schutz als tatsaechlich vorhanden ist.
Empfehlung: Keine echten Secrets in App-State speichern. Stattdessen nur Env-Referenzen/Keys-Namen anzeigen oder Secrets separat ausserhalb des Boards halten.
6. [Medium] State-Laden ist unvalidiert und schluckt Fehler vollstaendig
Datei: `index.html:855-856`, `index.html:863-864`, `index.html:905-939`, `index.html:2202-2203`
Problem: `localStorage`-Payloads werden ohne Shape-Validierung uebernommen, und Exceptions werden mit leeren `catch {}`/`catch(e) {}` verschluckt. Schon eine kaputte Struktur kann das Laden teilweise abbrechen, ohne Hinweis fuer den Nutzer.
Warum es zaehlt: Beschaedigter oder zukuenftiger inkompatibler State fuehrt zu stillen Datenverlusten oder schwer erklaerbaren Resets.
Empfehlung: Geladene Daten vor der Uebernahme validieren, defekte Teile gezielt verwerfen und einen sichtbaren Recovery-Hinweis anzeigen.
## Test- und Pruefstand
- Tests: nicht ausgefuehrt, kein Test-Setup im Repo vorhanden
- Lint/Typecheck/Build: nicht ausgefuehrt, kein entsprechendes Setup vorhanden
- Shell-Syntax: `bash -n server.sh` erfolgreich
- Nicht verifiziert: echtes Browser-Laufzeitverhalten, Drag-and-drop im UI, Verhalten unter beschaedigtem `localStorage`
## Empfohlene Reihenfolge
1. XSS-Pfade in Renderern schliessen
2. Markdown-Link-Whitelist ergaenzen
3. `resetCurrentBoard()` auf echten Default-Reset umstellen
4. Task-Erzeugung vereinheitlichen (`addCard`, Idea-Drop, Promote)
5. Secrets-Handling entschaerfen
6. `localStorage`-Load validieren und Fehler sichtbar machen
Reference in New Issue View Git Blame Copy Permalink