Skip to content

Security: CSWebations/blood-values-tracker

Security

SECURITY.md

Sicherheitsrichtlinie

Unterstützte Versionen

Sicherheitskorrekturen werden ausschließlich für die jeweils aktuelle Version auf dem main-Branch bereitgestellt.

Version Unterstützt
1.1.x
< 1.1

Eine Schwachstelle melden

Sicherheitslücken bitte nicht über ein öffentliches Issue melden, um andere Betreiber nicht zu gefährden, solange noch keine Korrektur verfügbar ist.

Stattdessen vertraulich melden über cswebations.de.

Hilfreich für die Bearbeitung sind:

  • eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen,
  • Schritte zur Reproduktion (gern mit Beispielanfrage oder Proof of Concept),
  • die betroffene Version sowie die PHP- und Datenbankversion.

Eingehende Meldungen werden nach bestem Bemühen geprüft und beantwortet. Bei bestätigten Schwachstellen wird eine Korrektur erarbeitet und anschließend im Rahmen einer abgestimmten Veröffentlichung (Coordinated Disclosure) bereitgestellt. Bitte gewähre vor einer öffentlichen Bekanntmachung eine angemessene Frist zur Behebung.

Geltungsbereich

Diese Richtlinie bezieht sich auf den Quellcode dieses Repositories. Nicht in den Geltungsbereich fallen Schwachstellen, die durch eine fehlerhafte Server- oder Betriebskonfiguration der jeweiligen Installation entstehen (z. B. fehlendes HTTPS, ein nicht auf public/ gesetzter DocumentRoot oder ein nicht entfernter Installer).

Verantwortung des Betreibers

Da es sich um eine selbst gehostete Anwendung handelt, liegt die Absicherung der Installation beim jeweiligen Betreiber. Empfohlen wird insbesondere:

  • den DocumentRoot der Domain auf das Verzeichnis public/ setzen, sodass src/ und config.php außerhalb des öffentlich erreichbaren Bereichs liegen,
  • die Anwendung ausschließlich über HTTPS betreiben,
  • eine feste Basis-URL konfigurieren (geschieht bei der Installation automatisch); sie schützt Passwort-Reset-Links vor Manipulation über den Host-Header,
  • den Installer (public/install.php) nach der Einrichtung entfernen (geschieht standardmäßig automatisch),
  • eine unterstützte, aktuelle PHP-Version einsetzen,
  • regelmäßige Datensicherungen vornehmen (Verwaltung → Backup),
  • hinter einem Reverse-Proxy/CDN dafür sorgen, dass PHP die echte Client-IP erhält (z. B. mod_remoteip) – die Login-Drosselung arbeitet u. a. pro IP.

There aren't any published security advisories