From a1297810352fd7722163f48bbf013f88eeeca538 Mon Sep 17 00:00:00 2001
From: duffyduck <info@hacker-net.de>
Date: Fri, 24 Apr 2026 10:01:26 +0200
Subject: [PATCH] =?UTF-8?q?docs(todo):=20Live-verifiziert-Tabelle=20f?=
 =?UTF-8?q?=C3=BCr=20Security-Runde=204=20erg=C3=A4nzt?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 backend/todo.md | 18 ++++++++++++++++++
 1 file changed, 18 insertions(+)

diff --git a/backend/todo.md b/backend/todo.md
index 60a5f25b..b0772cae 100644
--- a/backend/todo.md
+++ b/backend/todo.md
@@ -127,6 +127,24 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
     - `gdpr.getCustomerConsents` + `getAuthorizations` + `checkConsentStatus` ebenso ungeschützt
     - Portal-Kunde konnte live per `GET /api/customers/<fremde-id>` kompletten Fremdkunden-Datensatz auslesen → jetzt 403
     - Error-Handler: `err.status` wird jetzt respektiert (413/400 statt pauschalem 500)
+
+    **Live-verifiziert als Portal-Kunde gegen fremden Test-Kunden #4:**
+
+    | Endpoint                                     | Vorher                          | Nachher                      |
+    | -------------------------------------------- | ------------------------------- | ---------------------------- |
+    | `GET /api/customers/4`                       | 🚨 **200 mit Daten**            | ✅ 403                       |
+    | `GET /api/customers/4/addresses`             | 🚨 200                          | ✅ 403                       |
+    | `GET /api/customers/4/bank-cards`            | 🚨 200                          | ✅ 403                       |
+    | `GET /api/customers/4/documents`             | 🚨 200                          | ✅ 403                       |
+    | `GET /api/customers/4/meters`                | 🚨 200                          | ✅ 403                       |
+    | `GET /api/customers/4/representatives`       | 🚨 200                          | ✅ 403                       |
+    | `GET /api/gdpr/customer/4/consents`          | 🚨 200 mit Consent-Daten        | ✅ 403                       |
+    | `GET /api/gdpr/customer/4/authorizations`    | 🚨 200                          | ✅ 403                       |
+    | `GET /api/gdpr/customer/4/consent-status`    | 🚨 200                          | ✅ 403                       |
+    | Eigene Daten `/api/customers/1`              | ✅ 200                          | ✅ 200 (unverändert)         |
+    | 12 MB Body                                   | 500 „Interner Serverfehler"     | ✅ 413 „Anfrage zu groß"     |
+    | Malformed JSON                               | 500 „Interner Serverfehler"     | ✅ 400 „Ungültiges JSON"     |
+
   - Deployment-Checkliste komplett
 
 - [x] **🎉 Version 1.0.0 Feinschliff: Passwort-Reset + Rate-Limiting + Auto-Geburtstagsgrüße**