Security-Hardening Runde 13: Live-Vollmacht-Konsistenz + embedded DTOs

Pentest Runde 10:

MEDIUM – Stale Token nach Vollmacht-Widerruf:
Selbst ein frischer Portal-Login lieferte JWT mit representedCustomer-
Ids/representedCustomers, obwohl die Vollmacht widerrufen war. Live-
Check beim Datenzugriff fing das ab (403), aber die UI zeigte weiter
„kann vertreten". customerLogin und getCustomerPortalUser (= /me +
Refresh) filtern representingFor jetzt zusätzlich über
getAuthorizedCustomerIds() – nur Beziehungen mit isGranted=true
landen im Token.

MEDIUM – DTO-Leak in embedded Objekten:
GET /customers/:id lieferte contracts[] mit commission/notes/
portalPasswordEncrypted/nextReviewDate; embedded customer in
/contracts/:id zeigte notes. sanitizeCustomer(Strict) ruft jetzt
sanitizeContract(Strict) auf jedes Element von contracts[] auf;
`notes` ist als PORTAL_HIDDEN_CUSTOMER_FIELDS aufgenommen.

LOW – /tasks?customerId=X gibt 200 mit leerem Array statt 403:
Konsistenz-Fix: wenn Portal-User explizit nach customerId filtert,
die er nicht vertreten darf → 403.

Live-verifiziert:
- Customer 1 vertritt 2+3 (Vollmachten widerrufen) → JWT
  representedCustomerIds=[], /me dito
- Portal /customers/1.contracts[0]: keine Leaks; Admin sieht weiter
  commission/notes; portalPasswordEncrypted generell weg
- Portal /tasks?customerId=2 → 403; /tasks?customerId=1 → 200

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend/src/utils/sanitize.ts

@@ -31,6 +31,9 @@ const PORTAL_HIDDEN_CUSTOMER_FIELDS = [
   'privacyPolicyPath',
   'businessRegistrationPath',
   'commercialRegisterPath',
+  // Pentest Runde 10 (2026-05-17): notes sind interne CRM-Vermerke
+  // ("Kunde ist schwierig" etc.) und gehören nicht in die Portal-Sicht.
+  'notes',
 ] as const;
 
 // Felder die im Contract NIE rausgehen dürfen (auch nicht an Mitarbeiter).
@@ -59,24 +62,29 @@ const SENSITIVE_USER_FIELDS = [
  * Entfernt Passwort-Hash, Reset-Token etc. aus einem Customer-Objekt.
  * `portalPasswordEncrypted` bleibt nur drin, wenn der Caller Admin-Rechte hat
  * (wird in einem zweiten Schritt vom Controller gemacht). Dieser Helper entfernt
- * es standardmäßig.
+ * es standardmäßig. Embedded `contracts[]` werden ebenfalls sanitisiert
+ * (Pentest Runde 10 – DTO-Leak in eingebetteten Objekten).
  */
 export function sanitizeCustomer<T extends Record<string, unknown>>(customer: T | null): T | null {
   if (!customer) return customer;
-  const copy = { ...customer };
+  const copy: Record<string, unknown> = { ...customer };
   for (const field of SENSITIVE_CUSTOMER_FIELDS) {
     delete copy[field];
   }
+  if (Array.isArray(copy.contracts)) {
+    copy.contracts = (copy.contracts as Record<string, unknown>[]).map((c) => sanitizeContract(c));
+  }
   // portalPasswordEncrypted bleibt hier zunächst drin, damit Mitarbeiter das
   // Portal-Passwort ggf. in der UI anzeigen können. Wird per requirePermission
   // auf 'customers:update' implizit gesichert.
-  return copy;
+  return copy as T;
 }
 
 /**
  * Entfernt portalPasswordEncrypted + portal-interne Workflow-Felder zusätzlich
  * zu den allgemein sensiblen Feldern. Für Kontexte in denen der Caller KEIN
- * Admin ist (z.B. Portal-Kunde).
+ * Admin ist (z.B. Portal-Kunde). Embedded `contracts[]` werden mit der
+ * Strict-Variante sanitisiert.
  */
 export function sanitizeCustomerStrict<T extends Record<string, unknown>>(customer: T | null): T | null {
   if (!customer) return customer;
@@ -86,6 +94,9 @@ export function sanitizeCustomerStrict<T extends Record<string, unknown>>(custom
   for (const field of PORTAL_HIDDEN_CUSTOMER_FIELDS) {
     delete copy[field];
   }
+  if (Array.isArray(copy.contracts)) {
+    copy.contracts = (copy.contracts as Record<string, unknown>[]).map((c) => sanitizeContractStrict(c));
+  }
   return copy as T;
 }