duffyduck caa283e66f Pentest R92: Strict-400 für accountId auf Vertrags-Endpunkten ...

R91-Fix war silent-undefined bei invaliden Werten – accountId=abc
auf Vertrags-Endpunkten brach die Mailbox-Isolation (Mails aus
allen Postfächern statt 400). Pentester R92 hat zu Recht
Strict-400 vorgeschlagen.

Helper parsePositiveIntQuery() bekommt { required } option:
- optional (default): fehlend → undefined (kein Filter), invalid → 400
- required: fehlend ODER invalid → 400

Vertrags-Endpunkte (Emails + Folder-Counts) auf required gestellt.
Customer-/Trash-Endpunkte bleiben optional (Cross-Mailbox-View ist
legitim), aber invalid → 400. Frontend hat eh enabled-Guards.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-21 14:47:42 +02:00

..

factory-defaults

factory-defaults: HTML-Templates + Import über UI

2026-05-07 19:26:33 +02:00

prisma

Anbieter: Kontakt + Kündigung als Stammdaten

2026-06-21 13:10:59 +02:00

scripts

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

src

Pentest R92: Strict-400 für accountId auf Vertrags-Endpunkten

2026-06-21 14:47:42 +02:00

uploads

save email as pdf like an attachment

2026-02-04 19:18:32 +01:00

.env.example

Security-Hardening Runde 17: JWT-TTL + Pentest-Marker-Detection

2026-05-18 20:06:03 +02:00

.gitignore

chore: backend/.env aus Git entfernt + .gitignore klargestellt

2026-05-01 18:35:00 +02:00

docker-entrypoint.sh

Pentest 55.2 + 55.3 HIGH + 55.4 + 53.3: Notes/Document-Auth/Race/Generate

2026-06-01 20:45:39 +02:00

Dockerfile

fix: src/ ins Runtime-Image, damit prisma/*.ts-Wartungsskripte laufen

2026-05-18 15:53:52 +02:00

package-lock.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

package.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

tsconfig.json

first commit

2026-01-29 01:16:54 +01:00