timemaster

Author	SHA1	Message	Date
patrick	654258f13e	security: M-2 HttpOnly-Cookie + M-4 TrustedHost-Warning + M-5 TOTP-Lockout + M-7 zentraler get_client_ip() M-2: Refresh-Token als HttpOnly SameSite=Strict Cookie - auth.py: _set_refresh_cookie/_delete_refresh_cookie Helpers - Alle Auth-Endpoints (login, totp/login, refresh, logout) nutzen Cookie - schemas/auth.py: refresh_token in Request/Response optional - AuthContext.tsx: kein refresh_token in localStorage - api/client.ts: credentials:include, kein Token-Body beim Refresh M-4: TrustedHostMiddleware Warning in Production - main.py: Startup-Warning wenn is_production + kein ALLOWED_HOSTS M-5: TOTP-Fehlversuche Redis-Lockout - auth.py: _check/_record/_clear_totp_lockout; 5 Versuche → 15 min Sperre M-7: Zentraler get_client_ip()-Helper - core/dependencies.py: get_client_ip() mit X-Real-IP → X-Forwarded-For → client.host - hours_payouts.py, absences.py, busylight.py: request.client.host ersetzt Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-26 11:25:24 +02:00
patrick	06bb1c1664	feat: FZA Einzelstunden + Security-Fixes (K-1–K-5, H-2–H-4, M-1/M-3/M-6) FZA Einzelstunden: - Absence.fza_hours (Numeric 5,2) — FZA in Stunden statt Tagen - Migration 0032: fza_hours Spalte in absences - AbsenceCreate/AbsenceOut Schema um fza_hours erweitert - absence_service: _deduct/_refund_overtime nutzt fza_hours direkt wenn gesetzt - Frontend: Tage/Stunden-Toggle im FZA-Antrag-Modal Security K-1: Privilege Escalation via PATCH /users/{id}.role - user_service: Whitelist für Rollenänderungen, SUPER_ADMIN nur durch SUPER_ADMIN - Letzter COMPANY_ADMIN gegen Selbst-Demotion gesichert Security K-2: Kiosk-IP-Whitelist hinter nginx - kiosk_security: _get_client_ip() liest X-Real-IP statt request.client.host Security K-3: Kiosk-PIN Brute-Force-Schutz - kiosk_auth_service: Redis-Lockout nach 5 Fehlversuchen (15 min) Security K-4: TOTP-Setup-Hijacking - auth router: /totp/setup abgelehnt wenn TOTP bereits aktiv Security K-5: Separater Fernet-Key - config: SECRET_KEY_DATA Feld (optional, Fallback auf SECRET_KEY) - crypto: get_fernet_key() mit Warning bei fehlendem SECRET_KEY_DATA Security H-2: Vacation Balance nur HR/Admin - absences router: PATCH /balance nur noch HR/COMPANY_ADMIN/SUPER_ADMIN + AuditLog Security H-3: Rate-Limits auf /auth/refresh + /auth/logout - auth router: 30/min auf refresh, 60/min auf logout Security H-4: Login-Failure-Logging + Lockout - auth_service: Redis-Counter, Lockout nach 10 Versuchen (15 min) - AuditLog für login_success und login_failed Security M-1: Nginx Security-Header - nginx.conf: X-Frame-Options, X-Content-Type-Options, CSP, Referrer-Policy, X-XSS-Protection, Permissions-Policy Security M-3: AuditLog bei Rollenänderungen - user_service: action=role_changed mit old/new role Security M-6: create_all nur in Development - main.py: Base.metadata.create_all nur wenn not settings.is_production Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-26 11:13:42 +02:00
patrick	23ba7f1762	feat: Überstunden-Kappung + Jahresverfall pro Firma konfigurierbar Backend: - Company: overtime_cap_hours, overtime_expiry_enabled/month/day, overtime_max_carryover_hours - OvertimeBalance: last_expiry_applied_at - Migration 0031: neue Spalten in companies + overtime_balances - _recalculate_overtime_balance: Kappung direkt nach Berechnung - apply_overtime_expiry_if_needed(): lazy Verfall beim Balance-Abruf - GET /absences/overtime-balance: prüft + wendet Verfall automatisch an - POST /absences/overtime-balance/apply-expiry: manueller Trigger (Admin) Frontend: - CompanySettingsPage: neuer Block 'Überstunden-Konto' - Toggle Kappungsgrenze + Stunden-Input - Toggle Jahresverfall + Stichtag (Tag/Monat) + max. Übertrag - 'Verfall anwenden'-Button für Admins Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 22:48:30 +02:00
patrick	a63b0e835f	feat: Stunden-Auszahlung Feature (/hr/payouts) - Backend: Model HoursPayout, Schema, Router GET/POST/DELETE - GET /hr/payouts: HR/Admin sehen alle, Employee/Manager nur eigene - POST /hr/payouts: reduziert OvertimeBalance.taken_hours sofort - DELETE /hr/payouts/{id}: storniert und bucht Stunden zurück - AuditLog-Einträge bei Anlegen und Stornieren - Migration 0030: hours_payouts Tabelle - Frontend: /hr/payouts Seite (lila, 💸) mit Filter, Tabelle, Modal - Modal zeigt verfügbares Überstundenguthaben + Warnung bei Überziehung - Navigation: Stunden-Auszahlung (HR/COMPANY_ADMIN/SUPER_ADMIN) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 22:17:52 +02:00
patrick	0dd736c220	fix: require_role in special_assignments router ohne extra Depends() wrapping Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 00:59:16 +02:00
patrick	d60349df67	feat: Sondervertretungs-Faktoren (special_assignments) - Neues Model SpecialAssignment mit AssignmentMode (fza\|payroll\|both) - CRUD-Endpunkte unter /users/{id}/special-assignments - Payroll-Report: GET /reports/special-assignments/payroll?year=&month= - Migration 0029: special_assignments Tabelle + btree_gist Overlap-Constraint - _recalculate_overtime_balance berücksichtigt FZA-Faktoren - Frontend: Sondervertretungs-Zeiträume im UsersPage Edit-Modal - Frontend: ReportsPage neuer Tab 'Sondervertretungen' mit Payroll-Tabelle + CSV-Export Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 00:55:47 +02:00
patrick	345002944e	feat: Freizeitausgleich-Lücken geschlossen (Gap 1-3) + konfigurierbare Schwellwerte Gap-1: Überziehschutz für Überstundenkonto - Company.overtime_overdraft_allowed (default: true) – blockiert FZA wenn deaktiviert - Company.overtime_warning_threshold_hours (default: 0) – Warnung wenn Konto unter Schwelle fällt - warnings[] jetzt in approve_absence Response (AbsenceApproveOut) - Migration 0028_overtime_fza_config.py Gap-2: total_hours wird bei Zeiteintrag-Genehmigung neu berechnet - time_service.approve_entry() ruft _recalculate_overtime_balance() auf - last_calculated Timestamp wird gesetzt Gap-3: Stornierung genehmigter FZA-Anträge bucht taken_hours zurück - _refund_overtime() Helfer hinzugefügt - cancel_absence() erlaubt jetzt HR/Admin auch genehmigte Abwesenheiten zu stornieren - DELETE /absences/{id} gibt jetzt AbsenceOut zurück (statt 204) - Mitarbeiter können genehmigte FZA-Anträge nicht selbst stornieren (409) Frontend: - CompanySettingsPage: neuer Abschnitt 'Freizeitausgleich' mit Toggle + Schwellwert-Eingabe Tests: backend/tests/test_fza.py mit 6 Tests (alle 3 Gaps) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-25 00:08:03 +02:00
patrick	62c4e742ab	security: 9 Findings aus Security-Audit behoben (CRITICAL + HIGH + MEDIUM) CRITICAL: - C-1: LDAP tls_verify Default False → True (MITM-Schutz) - C-2: TOTP-Secret Fernet-verschlüsselt in DB (statt Plaintext) - core/crypto.py: encrypt_value() / decrypt_value() helper - Migration 0026: totp_secret VARCHAR(64→500), ldap tls_verify default=true - _totp_plain() helper mit Legacy-Fallback für bestehende Werte HIGH: - H-1: Kiosk Nonce-Cache asyncio.Lock (Race Condition behoben) - H-2: File-Upload-Limit 10 MB (import_kimai.py + users.py CSV-Import) - H-3: CORS allow_methods/allow_headers explizit eingeschränkt (war *) - H-4: TrustedHostMiddleware aktiviert wenn ALLOWED_HOSTS gesetzt MEDIUM: - M-1: IP-Logging nutzt X-Forwarded-For hinter nginx-Proxy - M-4: Audit-Log für password_changed, totp_enabled, totp_disabled - M-5: CalDAV verify_ssl in Production erzwungen (_effective_verify_ssl) 152/152 Tests grün Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-24 19:45:09 +02:00
patrick	30828c69e9	feat: agent-02-kiosk Phase 2A - Auth endpoints (PIN/NFC/QR/List) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-24 12:49:09 +02:00
patrick	1db7164837	fix(security): SSRF-Schutz für CalDAV-URLs Neue _validate_caldav_url() Funktion in caldav_service.py: - Prüft Schema (nur http/https erlaubt) - Blockiert private IP-Ranges (RFC 1918, Loopback, Link-local) - DNS-Auflösung + Prüfung der aufgelösten IP (DNS-Rebinding-Schutz) - Blockiert: 10/8, 172.16/12, 192.168/16, 127/8, 169.254/16, fc00::/7 etc. Validierung in allen drei HTTP-Helpers (_http_put, _http_delete, _http_propfind) sowie beim Speichern in caldav.py Router (company + user config) – doppelter Schutz. Getestet: 8 böse URLs geblockt, 2 legitime URLs erlaubt (10/10 OK) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-24 12:39:59 +02:00
patrick	0f83d13c0c	feat(kiosk): Stufe 2 – Ed25519-Auth, CLI-Tool, neue KioskDevicesPage 2A – Backend Ed25519-Verifizierung: - app/core/kiosk_security.py (NEU): verify_kiosk_request() Dependency - Timestamp-Check (30s Drift), Nonce-Cache (Redis/In-Memory), IP-Whitelist - Ed25519-Signatur über METHOD+PATH+TIMESTAMP+NONCE+sha256(BODY) - PEM + OpenSSH Key-Format unterstützt - app/routers/kiosk.py: approve/revoke Endpunkte, POST /heartbeat (Ed25519-signiert) - app/services/kiosk_service.py: token-basierte Methoden entfernt, approve/revoke/heartbeat - app/schemas/kiosk.py: KioskDeviceOut mit heartbeat_status, HeartbeatRequest/Response 2B – CLI-Tool: - cli.py (NEU, 529 Zeilen): Typer-CLI mit kiosk add/list/approve/revoke/info - Public-Key-Fingerprint (SHA256), Rich-Tabellen, CIDR-Validierung - Direkter DB-Zugriff mit RLS-Bypass 2C – Frontend: - KioskDevicesPage.tsx: Zwei-Tab-Layout (Wartet/Aktiv), Status-Ampel, Auto-Refresh 30s, Ed25519-Workflow (kein Token mehr) - Layout.tsx: KioskHealthBadge (online/total, 30s Refresh, nur COMPANY_ADMIN) requirements.txt: typer>=0.12.0, rich>=13.7.0 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-24 12:13:46 +02:00
patrick	62ef6c2a11	feat: Live-Stempel-Uhr, Break-UI, Balance-Widget, Approval-Queue + PDF-Export (WeasyPrint) Frontend (TimeTrackingPage): - Live-Arbeitsuhr (HH:MM:SS) während eingestempelt - Break-Start/End-Buttons mit laufender Pausenuhr - Wochen-Balance-Widget (gearbeitet / erwartet / überstunden) - Approval-Queue Tab für Manager/HR/Admin (pending entries genehmigen/ablehnen) Backend (Reports): - weasyprint>=61.0 in requirements.txt - 3 neue PDF-Export-Tests (Zeit, Abwesenheit, Überstunden) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-24 11:59:32 +02:00
patrick	dd3e069466	fix: router db.refresh() nach commit bricht RLS-Kontext SET LOCAL Werte (bypass_rls, company_id) sind transaktions-gebunden. Nach db.commit() ist der Kontext weg – ein nachfolgendes db.refresh() läuft in einer neuen Transaktion ohne RLS-Kontext und liefert 0 Rows. Da expire_on_commit=False gesetzt ist, sind alle Instanz-Attribute nach dem Commit bereits im Speicher vorhanden. Die expliziten db.refresh()-Aufrufe nach db.commit() in allen Routers sind daher redundant und wurden entfernt. test_rls.py: 6 neue Tests beweisen DB-seitige Mandanten-Isolation. conftest.py: _apply_rls() wendet RLS-Policies auf Test-DB an. migrations/0024: korrigiert auf op.execute(text()) API. migrations/env.py: SET LOCAL außerhalb Transaktion entfernt. Ergebnis: 8 failed (pre-existing), 126 passed – identisch zur Baseline vor RLS. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-23 22:34:48 +02:00
sysops	1fedd683e0	Initial commit – TimeMaster Zeiterfassung & HR-Tool Stand: agent-06 (Audit-Log), agent-05 (Krankmeldung), agent-07 Phase 1 (Personalnummer), Busylight-Pull-Integration, TOTP/2FA, Abwesenheiten, Zeiterfassung, Kiosk-Grundgerüst. Migrations 0001–0023 deployed auf 192.168.1.137 + .164. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-23 20:03:27 +02:00

14 Commits