npm - @aegis-scan/skills - Versions diffs - 0.2.1 → 0.5.0 - Mend

@aegis-scan/skills 0.2.1 → 0.5.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (93) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/INDEX.md ADDED Viewed

@@ -0,0 +1,122 @@
+---
+status: skeleton
+purpose: Pro Tech-Stack ein Pattern-File mit Code-Snippet (sanitized) + AVV-/DPA-Quelle + DSE-Wording-Vorlage + bekannte Risiken.
+maintainer-note: Auto-Loading-Architektur in SKILL.md ruft diese Files via grep package.json. Befuell-Plan unten.
+---
+# `references/stack-patterns/` — Skeleton + Befuell-Plan
+> Status: **skeleton**. Ziel: pro Stack-Komponente (Framework, Auth-Provider,
+> Payment-Provider, Tracking-Provider, AI-Provider) ein Pattern-File mit:
+> - Code-Snippet (sanitized — keine Brand-Refs)
+> - AVV-/DPA-Quelle des Vendors
+> - DSE-Wording-Vorlage (Block-Vorschlag fuer Datenschutzerklaerung)
+> - Bekannte Risiken (Drittland, Cookies, Default-Cloud-Settings)
+> - Verify-Commands
+## Befuell-Reihenfolge
+### Frameworks (Foundation)
+- [ ] `nextjs/proxy-csp-pattern.md` — Strict-Dynamic-CSP via middleware (siehe templates/proxy-strict-dynamic.ts.example)
+- [ ] `nextjs/env-driven-tracking.md` — UmamiScript-Pattern (siehe templates/UmamiScript.tsx.example)
+- [ ] `nextjs/dynamic-rendering-headers.md` — `force-dynamic`, `revalidate`, no-cache
+- [ ] `nextjs/api-route-bearer-auth.md` — Cron-Routes (siehe templates/data-retention-cron.ts.example)
+- [ ] `react/cookie-banner-pattern.md` — Pre-consent-Tracker-Gate
+- [ ] `react/consent-gate-pattern.md` — useConsent-Hook
+- [ ] `vue/cookie-banner-pattern.md`
+- [ ] `astro/cookie-banner-pattern.md`
+- [ ] `svelte/cookie-banner-pattern.md`
+- [ ] `laravel/cookie-banner-pattern.md`
+- [ ] `rails/cookie-banner-pattern.md`
+- [ ] `django/cookie-banner-pattern.md`
+- [ ] `flask/cookie-banner-pattern.md`
+- [ ] `fastapi/cookie-banner-pattern.md`
+- [ ] `express/cookie-banner-pattern.md`
+- [ ] `nest/cookie-banner-pattern.md`
+- [ ] `strapi/cms-pii-pattern.md`
+### Auth-Provider
+- [ ] `auth/supabase-auth-tom.md` — bcrypt, RLS, MFA-Optional, Audit-Log
+- [ ] `auth/nextauth-tom.md` — JWT vs Session, CSRF-Token-Rotate
+- [ ] `auth/auth0-tom.md` — Drittland (US) + DPA-Link
+- [ ] `auth/clerk-tom.md` — Drittland (US) + DPA-Link + EU-Region-Setting
+- [ ] `auth/custom-jwt-tom.md` — KMS, Key-Rotation, RS256-Pflicht
+### Payment-Provider
+- [ ] `payment/stripe-pci-tom.md` — PCI-DSS via Stripe-hosted, Webhook-Sig-Verify
+- [ ] `payment/lemonsqueezy-tom.md` — EU-VAT-Handling
+- [ ] `payment/paddle-tom.md` — Merchant-of-Record-Modell
+- [ ] `payment/mollie-tom.md` — EU-Anbieter, SEPA
+- [ ] `payment/paypal-tom.md` — Drittland (US) + DPA
+### Tracking-Provider
+- [ ] `tracking/plausible-pattern.md` — cookieless, EU-gehostet
+- [ ] `tracking/umami-pattern.md` — selbst-gehostet, cookieless
+- [ ] `tracking/google-analytics-consent.md` — GA4, IP-Anonym, Consent-Mode v2, Drittland
+- [ ] `tracking/mixpanel-consent.md` — Drittland (US), opt-in only
+- [ ] `tracking/posthog-consent.md` — EU-Region verfuegbar
+- [ ] `tracking/fathom-pattern.md` — cookieless, EU-Mode
+### AI-Provider
+- [ ] `ai/openai-dpa.md` — DPA-Link, EU-Data-Boundary-Settings, Trainings-Opt-Out
+- [ ] `ai/anthropic-dpa.md` — DPA-Link, Drittland-Mechanismus
+- [ ] `ai/mistral-eu.md` — EU-Anbieter (FR), AI-Act-Hochrisiko-Mapping
+- [ ] `ai/replicate-dpa.md` — Drittland (US)
+- [ ] `ai/self-hosted-llm.md` — On-Prem (Ollama, vLLM, LocalAI) — KEIN Drittland-Trigger
+## Format pro File (Vorlage)
+```markdown
+---
+license: MIT (snippet) / vendor-doc-Quellen separat lizenziert
+provider: <Vendor-Name>
+provider-AVV-status: <Standardvertrag verfuegbar / on-request / nicht verfuegbar>
+last-checked: <YYYY-MM-DD>
+---
+# <Stack-Komponente> — Pattern fuer brutaler-anwalt-Audit
+## 1. Default-Verhalten (was passiert ohne Konfiguration)
+<z.B.: Default-Region = US, Default-Cookies = on, Default-IP-Anonymisierung = off>
+## 2. Compliance-Risiken
+| Risiko | Auswirkung | Fix |
+|--------|-----------|-----|
+| Drittland | Schrems-II | Region setzen + SCC + TIA |
+| Cookies | § 25 TTDSG | Consent-Mode oder cookieless |
+| Default-Logs | Art. 5 DSGVO | Anonymisierung, Loeschfristen |
+## 3. Code-Pattern (sanitized)
+```ts
+// Brand-agnostisch, mit <placeholder> fuer Operator-Werte
+```
+## 4. AVV / DPA
+- DPA-Link: <URL beim Vendor>
+- AVV-Stand: <Datum>
+- Sub-Auftragsverarbeiter: <Liste oder Verweis>
+## 5. DSE-Wording-Vorlage
+> Block fuer eigene Datenschutzerklaerung mit Pflicht-Inhalt.
+## 6. Verify-Commands
+```bash
+# Live-Probe gegen die Domain mit dem Stack-Element
+```
+## 7. Az.-Anker (wenn vorhanden)
+- BGH/OLG/EuGH-Urteil mit Az. + Source-URL
+```
+## NICHT-Inhalt dieser Files
+- KEINE Vendor-Disclosure (nur faktische Compliance-Sicht)
+- KEIN Marketing oder Kaufempfehlung
+- KEINE alternativen Provider-Vergleiche (das macht der Skill-Output, nicht die Reference)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/mistral-eu.md ADDED Viewed

@@ -0,0 +1,123 @@
+---
+license: MIT (snippet)
+provider: Mistral AI SAS (Frankreich) — EU-Anbieter
+provider-AVV-status: Enterprise-DPA verfügbar; La Plateforme DPA standardmäßig
+last-checked: 2026-05-01
+---
+# Mistral AI — EU-AI-Provider Compliance + DSE-Wording
+## 1. Default-Verhalten
+- **Hosting**: EU (Frankreich, AWS eu-west-1 / GCP europe-west1)
+- **Daten-Routing**: bei `mistral-large-latest` und `mistral-medium` standardmäßig EU
+- **Keine Trainingsnutzung** auf API-Daten (Default seit 2024-Q4)
+- **Logging**: Server-seitig nur 30 Tage, danach gelöscht (laut DPA)
+- **Token-Rate-Limit**: pro API-Key, kein Userdaten-Tracking ohne explizite Konfiguration
+## 2. Compliance-Vorteile gegenüber US-Anbietern
+| Aspekt | Mistral (FR/EU) | OpenAI (US) | Anthropic (US) |
+|--------|-----------------|-------------|----------------|
+| Hosting-Region | EU-Default | US-Default | US-Default |
+| DPF-Zertifizierung | nicht relevant (EU) | ja | ja |
+| Drittland-Hinweis nötig | NEIN | JA | JA |
+| SCC nötig | NEIN | JA (Modul 2) | JA (Modul 2) |
+| Trainingsnutzung Default | nein | nein (Enterprise) / ja (Free) | nein |
+## 3. Compliance-Risiken (Mistral-spezifisch)
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| User-Prompts mit PII an API senden | DSGVO Art. 6 (auch innerhalb EU braucht Rechtsgrundlage) | DSFA + Einwilligung wenn Sondersensibles |
+| Modell-Antworten mit erfundenem Inhalt | UWG § 5 wenn beworben als „korrekt" | Disclaimer „kein Ersatz für fachliche Beratung" |
+| AI-Act Art. 50 ab 02.08.2026 | Pflicht-Hinweis im Chat-UI | KI-Kennzeichnung sichtbar |
+## 4. Code-Pattern (sanitized)
+```ts
+// File: src/lib/ai/mistral-client.ts
+import { Mistral } from '@mistralai/mistralai';
+const client = new Mistral({
+  apiKey: process.env.MISTRAL_API_KEY!,
+  // serverEndpoint: optional, default = api.mistral.ai (EU)
+});
+export async function chatWithDisclaimer(userMessage: string) {
+  const response = await client.chat.complete({
+    model: 'mistral-medium-latest', // EU-hosted by default
+    messages: [
+      {
+        role: 'system',
+        content:
+          'Du bist ein hilfreicher Assistent. ' +
+          'Bei medizinischen / juristischen / finanziellen Fragen: ' +
+          'verweise auf Fachkraft. Erfinde keine Fakten — sage „weiß ich nicht" wenn unsicher.',
+      },
+      { role: 'user', content: userMessage },
+    ],
+    temperature: 0.7,
+    maxTokens: 1000,
+  });
+  return response.choices?.[0]?.message?.content;
+}
+```
+```tsx
+// File: src/components/chat/ChatUI.tsx
+// Pflicht-Hinweis nach AI-Act Art. 50 (ab 02.08.2026)
+'use client';
+export function AIChatHeader() {
+  return (
+    <div className="ai-disclaimer" role="note">
+      <span aria-hidden="true">🤖</span>
+      <p>
+        <strong>KI-Assistent.</strong> Antworten werden von einer KI erzeugt
+        (Mistral AI, EU-gehostet). Sie ersetzen keine fachliche Beratung
+        (Tierarzt / Arzt / Anwalt / Steuerberater).
+      </p>
+    </div>
+  );
+}
+```
+## 5. AVV / DPA
+- **DPA-Link**: https://mistral.ai/terms#data-processing-addendum
+- **Standard La Plateforme Terms**: https://mistral.ai/terms/#terms-of-service-la-plateforme
+- **Enterprise DPA**: auf Anfrage
+- **AI-Act-Compliance-Doku**: Mistral publiziert technical-doc nach Art. 53 AI-Act (GPAI-Pflicht)
+## 6. DSE-Wording-Vorlage
+> **KI-gestützte Funktionen (Mistral AI).** Für KI-basierte Funktionen
+> (z.B. Chat-Assistent, Empfehlungen) nutzen wir die API von Mistral AI
+> SAS (15 rue des Halles, 75001 Paris, Frankreich) als Auftragsverarbeiter
+> im Sinne von Art. 28 DSGVO. Daten werden in der EU verarbeitet (kein
+> Drittland-Transfer). Eingaben (Prompts) und KI-Antworten werden bei
+> Mistral maximal 30 Tage zur Missbrauchs-Erkennung gespeichert und nicht
+> für Training genutzt (siehe Mistral Privacy Policy). Rechtsgrundlage:
+> Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f
+> (berechtigtes Interesse). Bei sensiblen Datenkategorien holen wir
+> separate Einwilligung ein (Art. 6 Abs. 1 lit. a + Art. 9 lit. a DSGVO).
+> Datenschutz Mistral: https://mistral.ai/terms/#privacy-policy.
+## 7. Verify-Commands
+```bash
+# API-Endpoint-Region prüfen (sollte EU sein)
+curl -s -X POST https://api.mistral.ai/v1/chat/completions \
+  -H "Authorization: Bearer $MISTRAL_API_KEY" \
+  -H "Content-Type: application/json" \
+  -d '{"model":"mistral-small-latest","messages":[{"role":"user","content":"hi"}]}' \
+  -I | grep -iE 'cf-ray|x-amz|server'
+# erwarte: EU-region-headers (eu-west / fra / paris)
+```
+## 8. Az.-Anker
+- AI-Act VO 2024/1689 Art. 53 (GPAI-Pflichten Mistral)
+- AI-Act Art. 50 (Transparenz für End-User, ab 02.08.2026)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/openai-dpa.md ADDED Viewed

@@ -0,0 +1,120 @@
+---
+license: MIT (snippet)
+provider: OpenAI Ireland Ltd (Dublin) + OpenAI L.L.C. (USA)
+provider-AVV-status: DPA verfügbar (Standard + Zero Data Retention auf Anfrage)
+last-checked: 2026-05-01
+---
+# OpenAI — Compliance + DSE-Wording (Drittland US!)
+## 1. Default-Verhalten
+- **Routing**: Standard via OpenAI Ireland (für EU-Kunden), aber Sub-Processors in den USA
+- **EU-Data-Boundary** seit 2024-Q1 als Option (Beta) — muss explizit aktiviert werden
+- **Trainings-Nutzung**: bei API-Daten OPT-OUT (Default kein Training seit 03/2023)
+- **Logging**: 30 Tage Default, „Zero Data Retention" für Enterprise auf Anfrage
+- **Drittland-Status**: USA — DPF-zertifiziert seit 11.10.2023
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| Default-Routing über USA | Drittland-Transfer | EU Data Boundary aktivieren ODER DSE-Erwähnung |
+| Sub-Processor in USA (Azure / GCP) | weiterer Transfer | DPA-Sub-Processor-Liste annehmen |
+| User-Prompts mit Sondersensibles | Art. 9 DSGVO + DPF | Pseudonymisierung vor Senden ODER Einwilligung |
+| Hallucinations bei Health/Legal/Finance-Antworten | UWG § 5 wenn als „verlässlich" beworben | Disclaimer Pflicht |
+## 3. Code-Pattern (sanitized)
+```ts
+// File: src/lib/ai/openai-client.ts
+import OpenAI from 'openai';
+const openai = new OpenAI({
+  apiKey: process.env.OPENAI_API_KEY!,
+  // EU-Data-Boundary aktivieren via Header (wenn Account-Setting aktiv):
+  baseURL: process.env.OPENAI_BASE_URL || 'https://api.openai.com/v1',
+});
+export async function chatWithSafeguards(userMessage: string) {
+  const response = await openai.chat.completions.create({
+    model: 'gpt-4o-mini', // oder gpt-4-turbo / gpt-5
+    messages: [
+      {
+        role: 'system',
+        content:
+          'Antworte auf Deutsch. Bei medizinischen/juristischen/finanziellen Fragen ' +
+          'verweise auf Fachkraft. Erfinde keine Fakten — bei Unsicherheit sage es.',
+      },
+      { role: 'user', content: userMessage },
+    ],
+    temperature: 0.7,
+    max_tokens: 1000,
+  });
+  return response.choices[0]?.message?.content ?? '';
+}
+```
+```tsx
+// File: src/components/chat/AIDisclaimerHeader.tsx
+'use client';
+export function OpenAIDisclaimer() {
+  return (
+    <div className="ai-disclaimer" role="note">
+      <p>
+        🤖 <strong>KI-Assistent.</strong> Antworten werden mit OpenAI (USA)
+        erzeugt. Sie können fehlerhaft sein und ersetzen keine
+        fachliche Beratung. Mit Nutzung stimmst du der DSGVO-konformen
+        Verarbeitung deiner Eingaben in den USA zu (siehe Datenschutz).
+      </p>
+    </div>
+  );
+}
+```
+## 4. AVV / DPA
+- **DPA-Link**: https://openai.com/policies/data-processing-addendum
+- **Trust-Portal**: https://trust.openai.com
+- **Sub-Processors**: https://openai.com/policies/sub-processor-list
+- **DPF-Zertifikat**: https://www.dataprivacyframework.gov/list (suche „OpenAI")
+- **Zero Data Retention**: auf Anfrage für Enterprise via support@openai.com
+## 5. DSE-Wording-Vorlage
+> **KI-gestützte Funktionen (OpenAI, USA).** Für KI-basierte Funktionen
+> nutzen wir die API von OpenAI Ireland Ltd (1st Floor, The Liffey Trust
+> Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland) und OpenAI
+> L.L.C. (3180 18th Street, San Francisco, CA 94110, USA) als
+> Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eingaben werden zur
+> Beantwortung der Anfrage an OpenAI in den USA übermittelt
+> (Drittlandtransfer Art. 44 ff. DSGVO). Rechtsgrundlage für den
+> Drittlandtransfer ist Art. 45 i.V.m. dem EU-US Data Privacy Framework
+> (OpenAI Inc. ist DPF-zertifiziert) sowie ergänzend EU-Standardvertrags-
+> klauseln (Modul 2). Eingaben werden bei OpenAI maximal 30 Tage zur
+> Missbrauchs-Erkennung gespeichert und nicht für Training verwendet
+> (API-Daten-Opt-Out by default). Rechtsgrundlage: Art. 6 Abs. 1 lit. b
+> DSGVO. Datenschutz OpenAI: https://openai.com/policies/privacy-policy.
+>
+> Hinweis: Für Anfragen mit besonders sensiblen Inhalten (Gesundheit,
+> juristische / finanzielle Themen) holen wir gesonderte Einwilligung ein
+> (Art. 6 Abs. 1 lit. a + Art. 9 lit. a DSGVO).
+## 6. Verify-Commands
+```bash
+# Account-Setting EU-Data-Boundary prüfen (UI in OpenAI Dashboard)
+# Verify Sub-Processor-Liste aktuell
+curl -s https://openai.com/policies/sub-processor-list | grep -oE '<title>.*</title>'
+# DPF-Zertifikat-Status
+curl -s "https://www.dataprivacyframework.gov/api/PartList" | jq '.[] | select(.OrganizationName | contains("OpenAI"))'
+```
+## 7. Az.-Anker
+- AI-Act VO 2024/1689 Art. 53–55 (GPAI-Pflichten OpenAI)
+- AI-Act Art. 50 Transparenz (ab 02.08.2026)
+- noyb-Klagen gegen ChatGPT (Stand: anhängig 2026, läuft seit 04/2024)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/nextauth-tom.md ADDED Viewed

@@ -0,0 +1,120 @@
+---
+license: MIT (snippet)
+provider: NextAuth.js / Auth.js (selbstgehostet)
+provider-AVV-status: nicht relevant (Self-hosted Library)
+last-checked: 2026-05-01
+---
+# NextAuth.js / Auth.js — Self-hosted Auth + DSE-Wording
+## 1. Default-Verhalten
+- Self-hosted Library (npm: `next-auth` v4 / `@auth/nextjs` v5)
+- Sessions: **JWT (default)** ODER Database-Sessions
+- Cookie: `next-auth.session-token`, HttpOnly, Secure, SameSite=Lax
+- Provider-Drittland-Risiken nur durch externe Auth-Provider (Google/GitHub/Apple)
+## 2. Compliance-Risiken (typische Konfigurationsfehler)
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| `JWT_SECRET` in Repo | Vollständiger Auth-Bruch | env-only + Secret-Rotation |
+| OAuth-Callback ohne CSRF-Token-Validierung | CSRF-Bug | Default-Verhalten von next-auth nutzen, NICHT custom |
+| Session-Cookie ohne `Secure` | Session-Hijack über HTTP | `cookies.sessionToken.options.secure: true` |
+| OAuth-Provider USA (Google, Apple, GitHub) | Drittland | DSE-Erwähnung pro Provider |
+| Magic-Link via E-Mail (Email Provider) | Phishing | DKIM + SPF + DMARC + Rate-Limit |
+## 3. Code-Pattern (Auth.js v5, sanitized)
+```ts
+// File: src/auth.ts (Auth.js v5)
+import NextAuth from 'next-auth';
+import Google from 'next-auth/providers/google';
+import GitHub from 'next-auth/providers/github';
+import Resend from 'next-auth/providers/resend';
+import { PrismaAdapter } from '@auth/prisma-adapter';
+import { prisma } from './lib/prisma';
+export const { handlers, auth, signIn, signOut } = NextAuth({
+  adapter: PrismaAdapter(prisma),
+  providers: [
+    Google({
+      clientId: process.env.GOOGLE_CLIENT_ID!,
+      clientSecret: process.env.GOOGLE_CLIENT_SECRET!,
+    }),
+    GitHub({
+      clientId: process.env.GITHUB_CLIENT_ID!,
+      clientSecret: process.env.GITHUB_CLIENT_SECRET!,
+    }),
+    Resend({ from: 'no-reply@<your-domain>' }),
+  ],
+  session: { strategy: 'database', maxAge: 30 * 24 * 60 * 60 }, // 30 Tage
+  cookies: {
+    sessionToken: {
+      name: '__Secure-next-auth.session-token',
+      options: {
+        httpOnly: true,
+        sameSite: 'lax',
+        path: '/',
+        secure: process.env.NODE_ENV === 'production',
+      },
+    },
+  },
+  callbacks: {
+    async session({ session, user }) {
+      session.user.id = user.id;
+      return session;
+    },
+  },
+  pages: {
+    signIn: '/login',
+    error: '/login?error',
+  },
+  events: {
+    async signIn({ user }) {
+      // Audit-Log
+      await prisma.authLog.create({
+        data: { userId: user.id, event: 'sign_in', timestamp: new Date() },
+      });
+    },
+  },
+});
+```
+## 4. DSE-Wording-Vorlage
+> **Authentifizierung (NextAuth / Auth.js).** Für die Anmeldung an
+> unserem Dienst nutzen wir die Open-Source-Library NextAuth.js (selbst
+> auf unseren EU-Servern gehostet). Wir bieten folgende Anmeldemethoden:
+>
+> - **E-Mail-Magic-Link** (E-Mail-Versand via Resend / All-Inkl-SMTP, je nach Konfiguration).
+> - **Google-Login** (Google Ireland Limited / Google LLC, USA — Drittland-Transfer mit DPF + SCC).
+> - **GitHub-Login** (GitHub Inc., USA — Drittland-Transfer mit DPF + SCC).
+> - **Apple Sign-In** (Apple Distribution International, Irland).
+>
+> Bei Nutzung eines OAuth-Providers (Google / GitHub / Apple) werden
+> Daten an den jeweiligen Anbieter übermittelt. Rechtsgrundlage: Art. 6
+> Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für Drittlandtransfer
+> Art. 45/46 DSGVO. Wir speichern lokal: Provider-User-ID, E-Mail,
+> Profilbild-URL (sofern vom Provider freigegeben), Login-Zeitpunkt.
+## 5. Verify-Commands
+```bash
+# Cookie-Inspektion nach Login
+curl -sI -b /tmp/auth-cookies.txt -c /tmp/auth-cookies.txt \
+  https://<your-domain>/api/auth/session
+# erwarte: __Secure-next-auth.session-token mit HttpOnly, Secure, SameSite=Lax
+# CSRF-Token-Endpoint (next-auth's automatic CSRF-Schutz)
+curl -s https://<your-domain>/api/auth/csrf | jq .csrfToken
+# erwarte: 64-char Token
+# Brute-Force-Test (manuell — sollte nach 5 Versuchen drosseln)
+# Implementiere selbst Rate-Limit auf /api/auth/callback/credentials
+```
+## 6. Az.-Anker
+- LG Berlin II 97 O 81/23 (Passwort-Identifikation, 27.11.2024)
+- DSGVO Art. 32 (TOMs für Auth-Cookies — HttpOnly + Secure + SameSite)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/supabase-auth-tom.md ADDED Viewed

@@ -0,0 +1,104 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Supabase Inc. (Delaware, USA)
+provider-AVV-status: Standardvertrag verfügbar (DPA + EU-SCC)
+last-checked: 2026-05-01
+---
+# Supabase Auth — TOMs + DPA + DSE-Wording
+## 1. Default-Verhalten ohne Konfiguration
+- Datenstandort konfigurierbar (eu-central-1 / eu-west-2 / ap-southeast-1 / us-east-1 / etc.)
+- **Default-Cookie**: `sb-<project>-auth-token`, HttpOnly, Secure, SameSite=Lax (in @supabase/ssr v0.5+)
+- Authentifizierungs-Daten in PostgreSQL-Schema `auth` mit RLS
+- Sub-Auftragsverarbeiter: AWS (Hosting), CloudFlare (CDN), Stripe (Billing für Pro-Tier)
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| Default-Region us-east-1 | Drittland-Transfer USA | EU-Region setzen (eu-central-1 = Frankfurt) |
+| Sub-Processor AWS | weiterer Transfer | DPA-Sub-Liste anhängen |
+| `auth.users.email` ohne Verschlüsselung | DSGVO Art. 32 — minimal-akzeptabel | Plus: PII-pseudonymized columns |
+| Magic-Link via E-Mail | Phishing-Risiko | DMARC + SPF + DKIM auf custom-Sending-Domain |
+## 3. Code-Pattern (sanitized)
+```ts
+// File: src/lib/supabase/client.ts
+// SSR-safe pattern with @supabase/ssr v0.5+
+import { createBrowserClient } from '@supabase/ssr';
+export const createClient = () =>
+  createBrowserClient(
+    process.env.NEXT_PUBLIC_SUPABASE_URL!,
+    process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY!,
+    {
+      auth: {
+        flowType: 'pkce', // PKCE statt implicit — Pflicht für Sicherheit
+        autoRefreshToken: true,
+        persistSession: true,
+        detectSessionInUrl: true,
+      },
+      cookies: {
+        // Cookie-Hardening
+        sameSite: 'lax',
+        secure: true,
+      },
+    },
+  );
+```
+```sql
+-- Pflicht: RLS auf jeder Tabelle die User-Daten enthält
+ALTER TABLE public.<your_table> ENABLE ROW LEVEL SECURITY;
+CREATE POLICY "users_select_own"
+ON public.<your_table>
+FOR SELECT
+USING (user_id = auth.uid());
+-- Anti-Pattern (KEINE!) für public-schema RPCs:
+-- CREATE FUNCTION public.foo(p_user_id uuid) ... SECURITY DEFINER
+-- → CWE-863 Anti-Pattern (siehe AEGIS rls-defense skill)
+```
+## 4. AVV / DPA
+- **DPA-Link**: https://supabase.com/legal/dpa
+- **SCC-Modul**: Module 2 (Controller-Processor) + Module 3 für Sub-Processors
+- **AVV-Stand**: 2024-Q1 (mit DPF-Erweiterung)
+- **Sub-Processors**: https://supabase.com/legal/sub-processors
+## 5. DSE-Wording-Vorlage
+> Wir nutzen den Auth- und Datenbank-Service von Supabase Inc. (970 Toa
+> Payoh North #07-04, Singapur 318992, mit Headquarters in Delaware/USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Daten werden in
+> der EU-Region (Frankfurt, eu-central-1) gespeichert. Für unvermeidbare
+> Datenübermittlungen in die USA (Stripe-Billing, US-Sub-Processors)
+> haben wir EU-Standardvertragsklauseln (Modul 2/3) abgeschlossen.
+> Datenschutzhinweise von Supabase: https://supabase.com/privacy.
+## 6. Verify-Commands
+```bash
+# Region-Check
+curl -s "https://<project>.supabase.co/rest/v1/" \
+  -H "apikey: $ANON_KEY" -I | grep -i "region\|x-region"
+# Cookie-Inspection
+curl -sI https://<your-domain>/api/auth/callback | grep -i set-cookie
+# erwarte: HttpOnly, Secure, SameSite=Lax
+# RLS-Probe (anon-Token darf NICHT alle rows sehen)
+curl -s "https://<project>.supabase.co/rest/v1/<table>?select=*" \
+  -H "apikey: $ANON_KEY" | jq 'length'
+# erwarte: 0 (anon hat keine Rows ohne Login)
+```
+## 7. Az.-Anker
+- AEGIS-Lessons: 21 CWE-863 IDOR-Vulns aus public-schema-SECURITY-DEFINER-RPCs (operativer Audit 2026-04-29 einer Pet-Care-Plattform)
+- Pattern: SECURITY-DEFINER-Functions in `public` brauchen `auth.uid()`-Guard + REVOKE FROM PUBLIC

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/nextjs/proxy-csp-pattern.md ADDED Viewed

@@ -0,0 +1,93 @@
+---
+license: MIT (snippet)
+purpose: Next.js (App Router 14+) Strict-Dynamic-CSP via middleware/proxy.ts
+references: audit-patterns.md HIGH-RISK-CSP-Migration, references/templates/proxy-strict-dynamic.ts.example
+last-checked: 2026-05-01
+---
+# Next.js — Strict-Dynamic-CSP via middleware/proxy
+## Anlass
+`script-src 'unsafe-inline'` ist die häufigste CSP-Schwäche in Next.js-Sites. Strict-Dynamic + nonce ersetzt das ohne legitime inline-Scripts zu brechen.
+## Pflicht-Migration-Strategy (HIGH-RISK)
+Diese Migration darf NIE direct-push sein:
+1. Feature-Branch erstellen
+2. middleware.ts mit nonce-Generation + CSP-Header
+3. layout.tsx liest `headers().get('x-nonce')` und gibt es an inline-Scripts
+4. Stripe-Elements + Supabase-OAuth + Google-Maps + GA-Snippets jeweils mit `nonce={nonce}`-Prop
+5. Intensive Tests aller Interaktiv-Features
+6. Stakeholder-Review
+7. Merge nur nach Approval
+## Code-Pattern
+Siehe vollständiges Snippet: `references/templates/proxy-strict-dynamic.ts.example`
+Kern-Idee:
+```ts
+// middleware.ts (Next.js 14+)
+const nonce = btoa(crypto.getRandomValues(new Uint8Array(16)).join(''));
+response.headers.set('Content-Security-Policy',
+  `script-src 'self' 'nonce-${nonce}' 'strict-dynamic' https:`);
+response.headers.set('x-nonce', nonce);
+```
+```tsx
+// layout.tsx
+import { headers } from 'next/headers';
+const nonce = headers().get('x-nonce') ?? '';
+return <Script id="bootstrap" nonce={nonce}>...</Script>;
+```
+## CSP-Direktiven-Checkliste
+| Direktive | Empfehlung | Warum |
+|-----------|------------|-------|
+| `default-src 'self'` | Pflicht | Restriktiver Default |
+| `script-src 'self' 'nonce-XXX' 'strict-dynamic' https:` | Pflicht | XSS-Schutz |
+| `style-src 'self' 'nonce-XXX'` | Empfohlen | inline-Style nur mit Nonce |
+| `img-src 'self' data: https://<your-cdn>` | Pflicht | Bild-Quellen begrenzt |
+| `connect-src 'self' https://<api> https://<analytics>` | Pflicht | API-Whitelist |
+| `frame-src 'self' https://<embed>` | Pflicht | iFrame-Whitelist |
+| `frame-ancestors 'none'` | Pflicht | Clickjacking-Schutz |
+| `object-src 'none'` | Pflicht | Flash-Disable |
+| `base-uri 'self'` | Pflicht | Base-Tag-Hijack-Schutz |
+| `form-action 'self'` | Pflicht | Form-Action-Beschränkung |
+| `upgrade-insecure-requests` | Empfohlen | HTTPS-Auto-Upgrade |
+## Defense-in-Depth Headers (zusätzlich zur CSP)
+```ts
+response.headers.set('X-Frame-Options', 'DENY');
+response.headers.set('X-Content-Type-Options', 'nosniff');
+response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
+response.headers.set('Strict-Transport-Security',
+  'max-age=63072000; includeSubDomains; preload');
+response.headers.set('Permissions-Policy',
+  'camera=(), microphone=(), geolocation=(self), interest-cohort=()');
+```
+## Verify-Commands
+```bash
+# CSP-Header prüfen
+curl -sIS https://<your-domain> | grep -i 'content-security-policy'
+# erwarte: 'nonce-...' + 'strict-dynamic'; KEIN 'unsafe-inline'
+# Mozilla Observatory-Score
+curl -s "https://http-observatory.security.mozilla.org/api/v1/analyze?host=<your-domain>" \
+  -X POST | jq .grade
+# erwarte: A oder A+
+# CSP-Reporting (optional, für Drift-Detection)
+# response.headers.set('Content-Security-Policy-Report-Only', '...; report-uri /api/csp-report');
+```
+## Az.-Anker (CSP allgemein)
+- DSGVO Art. 32 — TOMs (CSP ist anerkannte TOM)
+- ENISA + BSI-Empfehlungen für moderne Web-Sicherheit
+- OWASP Top 10 2023 — A03:2021 Injection