Calendarr

Author	SHA1	Message	Date
Scarriffle	6869a15bb8	fix(security): stop private-event leak in merge read + harden busy masking, uploads, profile Findings from the security review: - HIGH: private local events leaked in full (title/location/description) to anyone who could READ a shared or group calendar via GET /api/caldav/events — the private_event_visibility rule was only enforced in /groups/{id}/combined. Now enforced in the merge read too, via a shared helper (apply_event_privacy) so the two paths can't drift. - HIGH: 'busy' masking was a blacklist that still leaked creator identity, source-calendar name, recurrence rule and per-event colour. Replaced with a whitelist (mask_busy_event): only timing/identity/render fields survive. - MEDIUM: .ics import had no size limit (raw = await file.read()) → memory DoS. Now capped at 5 MB (413), read before creating any calendar. - LOW/INFO: profile email now checked for uniqueness + basic format; display name / username / email length-capped and control-chars stripped. Deferred (tracked): RRULE expansion cap at the trust boundary, SQLite PRAGMA foreign_keys + ON DELETE cascade, and JWT-by-user-id + token version. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>	2026-06-01 17:49:56 +02:00
Scarriffle	f9923b022e	feat: Login-Name vs. Anzeigename (Server) - Neue Spalte users.display_name (Original-Schreibweise); username bleibt der lowercase Login-Name. Setup/Create setzen display_name aus der Eingabe. - Login bleibt case-insensitive (Anzeigename eingeben funktioniert -> wird lowercased -> trifft den Login-Namen). - Profil: PUT /api/profile/ kann display_name UND username (Login-Name) aendern; bei Login-Namen-Wechsel kommt ein frischer Token zurueck (JWT sub haengt am Namen). Stabile interne ID (Integer-PK) traegt alle Verweise -> Umbenennen bricht Shares/Gruppen/creator_id nicht. - display_name ueberall ausgeliefert/genutzt (me, profile, users, directory, shares, Gruppen-Mitglieder, creator/owner, ORGANIZER-Export). - Migration + Backfill (display_name = username). Tests ergaenzt (17 gruen). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>	2026-05-31 17:40:38 +02:00
Scarriffle	3f3609c944	big update i guess	2026-03-26 18:55:15 +01:00
Scarriffle	1bbabd6c4d	UI-Verbesserungen: Favicon, Tab-Titel, Kalender umbenennen, Avatar-Crop, Farbpalette - SVG-Favicon hinzugefügt - Dynamischer Tab-Titel (z.B. "Calendarr - März 2026") - Kalender per Doppelklick umbenennen (Backend + Frontend) - Avatar-Anzeige im Topbar gefixt (onerror Fallback, robustes Laden) - Avatar-Upload mit Cropper.js Bildausschnitt-Wahl - Avatar-Limit auf 5 MB erhöht, Thumbnail auf 512px - Farbpalette statt nativem Color-Picker für Kalenderfarben	2026-03-26 15:14:34 +01:00
Scarriffle	128f1b468a	Profilseite mit Avatar, Passwort-Änderung und TOTP 2FA - Neues Profil-Modal: Avatar-Upload, E-Mail bearbeiten, Kalender-Übersicht - Passwort ändern mit Validierung des aktuellen Passworts - TOTP 2FA: QR-Code + manueller Schlüssel, Aktivierung/Deaktivierung - Login-Flow unterstützt 2FA-Code (neuer JSON-Endpoint /auth/login) - User-Dropdown mit Profil-Link statt confirm()-Dialog - Kalenderfarben in Sidebar editierbar (Color-Picker auf Farbpunkt) - Monatsansicht nutzt volle Höhe (#view-container flex fix) - requirements.txt: passlib durch bcrypt ersetzt, pyotp/qrcode/Pillow hinzugefügt	2026-03-26 14:10:53 +01:00

5 Commits