Stand: 4. Juni 2026
Sicherheit
HabitTracker ist an der OWASP Top 10:2025 ausgerichtet. Diese Seite beschreibt die wichtigsten Schutzmassnahmen fuer Benutzer und Betreiber.
OWASP-Abdeckung
A01 Broken Access Control
Alle Habit-Route-Handler pruefen serverseitig die Session und filtern Daten ueber session.user.id. Fremde IDs liefern 404.
A02 Security Misconfiguration
Security-Header setzen CSP, HSTS, Referrer-Policy, X-Frame-Options, nosniff und Permissions-Policy.
A03 Software Supply Chain Failures
Abhaengigkeiten sind im Lockfile fixiert; Builds laufen reproduzierbar auf Vercel. npm audit bleibt Teil der Wartung.
A04 Cryptographic Failures
Secrets liegen in Vercel-Env-Variablen. Sessions nutzen sichere Cookies in Produktion und HTTPS ueber Vercel.
A05 Injection
Datenbankzugriffe laufen ueber Drizzle-Queries; Eingaben werden typisiert, validiert und auf Groesse begrenzt.
A06 Insecure Design
Die App ist login-first aufgebaut: Registrierung mit E-Mail-Verifikation, geschuetzte App-Routen und keine Mandantenvermischung.
A07 Authentication Failures
Better Auth erzwingt E-Mail-Verifikation, Passwortlaenge, Session-Invalidierung beim Passwort-Reset und Rate-Limits.
A08 Software or Data Integrity Failures
Deployments laufen ueber Vercel-Builds aus dem Projektstand; Secrets werden nicht im Repository gespeichert.
A09 Security Logging & Alerting Failures
Unerwartete Serverfehler werden serverseitig geloggt, waehrend API-Antworten keine internen Fehlermeldungen ausgeben.
A10 Mishandling of Exceptional Conditions
API-Fehler werden einheitlich behandelt; ungueltige JSON-Bodies, zu grosse Anfragen und fehlende Berechtigungen erhalten klare Statuscodes.
Meldung von Sicherheitsproblemen
Sicherheitsluecken bitte verantwortungsvoll melden an [Security-Kontakt einsetzen]. Bitte keine fremden Daten herunterladen, veraendern oder veroeffentlichen.