archivmail

scripte/archivmail

Fork 0

Commit Graph

Author	SHA1	Message	Date
sysops	7371a73b3e	fix(SEC): Signup-Enumeration durch Always-Send-Email schließen Bei doppeltem Signup wird eine "bereits registriert"-Mail gesendet, sodass jeder Signup-Versuch eine ausgehende E-Mail erzeugt. Side-Channel-Angriff zur Account-Enumeration nicht mehr möglich. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-31 22:00:43 +02:00
sysops	4583262ea4	feat(PROJ-28): Self-Service Onboarding — Signup, Verify, Password Reset, Invites - internal/mailer: SMTP-Out via net/smtp (TLS + STARTTLS), HTML+Text-Templates - internal/tokenstore: auth_tokens Tabelle, SHA-256-Hash, TTL, einmalig verwendbar - userstore: CreateInactive(), Activate(), GetByEmail(), SetPassword() - API: POST /signup, GET /verify, POST /forgot-password, POST /reset-password - API: POST /admin/invite (domain_admin+), GET /auth/invite?token (check) - Login-Seite: Links zu "Passwort vergessen" und "Registrieren" - Frontend: /signup, /verify, /forgot-password, /reset-password Seiten - server.fqdn nicht konfiguriert → Startup-Warnung, Self-Service deaktiviert - LDAP-Nutzer: Passwort-Reset abgewiesen Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-31 21:54:11 +02:00

Author

SHA1

Message

Date

sysops

7371a73b3e

fix(SEC): Signup-Enumeration durch Always-Send-Email schließen

Bei doppeltem Signup wird eine "bereits registriert"-Mail gesendet,
sodass jeder Signup-Versuch eine ausgehende E-Mail erzeugt.
Side-Channel-Angriff zur Account-Enumeration nicht mehr möglich.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-03-31 22:00:43 +02:00

sysops

4583262ea4

feat(PROJ-28): Self-Service Onboarding — Signup, Verify, Password Reset, Invites

- internal/mailer: SMTP-Out via net/smtp (TLS + STARTTLS), HTML+Text-Templates
- internal/tokenstore: auth_tokens Tabelle, SHA-256-Hash, TTL, einmalig verwendbar
- userstore: CreateInactive(), Activate(), GetByEmail(), SetPassword()
- API: POST /signup, GET /verify, POST /forgot-password, POST /reset-password
- API: POST /admin/invite (domain_admin+), GET /auth/invite?token (check)
- Login-Seite: Links zu "Passwort vergessen" und "Registrieren"
- Frontend: /signup, /verify, /forgot-password, /reset-password Seiten
- server.fqdn nicht konfiguriert → Startup-Warnung, Self-Service deaktiviert
- LDAP-Nutzer: Passwort-Reset abgewiesen

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

2026-03-31 21:54:11 +02:00

2 Commits