npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/tracking-server-endpoint.md ADDED Viewed

@@ -0,0 +1,193 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Server-Endpoint Pattern fuer Static-Site-Tracking ohne Client-Fetches an Drittlaender.
+---
+# Astro — Server-Endpoint Tracking (Pattern)
+## Trigger / Detection
+Repo enthaelt:
+- `astro.config.mjs` mit `output: 'hybrid'` oder `output: 'server'`
+- `src/pages/api/*.ts` Server-Endpoints
+- Adapter-Integration: `@astrojs/node` / `@astrojs/vercel` / `@astrojs/netlify`
+- Static-Site mit Tracker-Bedarf, der NICHT direkt vom Client an Drittlaender geht
+Zweck: Tracker-Calls laufen via eigener API-Route (Same-Origin) statt direkt an `<placeholder-tracking-domain>`. Vorteile: kein Drittland-Cookie, IP-Anonymisierung serverseitig, Proxy-Layer fuer DSGVO-Konformitaet.
+## Default-Verhalten (was passiert ohne Konfiguration)
+- `output: 'static'` (Default) erlaubt KEINE Server-Endpoints — Tracker laeuft direkt vom Client
+- Direkte Tracker-Calls senden IP, User-Agent, Referrer ungeschuetzt an Drittland
+- Keine Moeglichkeit zur Daten-Minimierung vor Tracker-Provider
+- Cookie-Sets vom Drittland-Tracker nicht via § 25 TDDDG-konformem Banner gefiltert
+## Compliance-Risiken
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Direkter Drittland-Tracker-Call | Art. 44 DSGVO | KRITISCH | Server-Endpoint-Proxy + IP-Hashing |
+| Kein Consent-Check serverseitig | § 25 TDDDG | HOCH | Consent-Cookie pruefen vor Forward |
+| Volle IP an Provider | Art. 5 Abs. 1 lit. c | HOCH | IP-Truncate (letztes Octett /24) |
+| Default-Logs Klartext-IP | Art. 5 Abs. 1 lit. f | MITTEL | Anonymisierung im Endpoint |
+| Astro-SSR-Function in US-Region | Art. 44 DSGVO | KRITISCH | Adapter-Region auf EU pinnen |
+## Code-Pattern (sanitized)
+```typescript
+// File: src/pages/api/track.ts
+import type { APIRoute } from 'astro';
+import crypto from 'node:crypto';
+export const prerender = false;  // Pflicht: Server-Route
+const ANALYTICS_ENDPOINT = '<placeholder-eu-analytics-endpoint>';
+const ANALYTICS_TOKEN = import.meta.env.ANALYTICS_TOKEN;
+export const POST: APIRoute = async ({ request, clientAddress }) => {
+  // 1. Consent-Check (Cookie vom Banner)
+  const cookie = request.headers.get('cookie') ?? '';
+  const consentMatch = /cookie-consent=([^;]+)/.exec(cookie);
+  if (!consentMatch) {
+    return new Response(JSON.stringify({ blocked: 'no-consent' }), { status: 204 });
+  }
+  try {
+    const consent = JSON.parse(decodeURIComponent(consentMatch[1]));
+    if (!consent.analytics) {
+      return new Response(JSON.stringify({ blocked: 'analytics-opt-out' }), { status: 204 });
+    }
+  } catch {
+    return new Response(null, { status: 204 });
+  }
+  // 2. Body-Validation (kein PII durchlassen)
+  const payload = await request.json().catch(() => ({}));
+  const safe = {
+    path: typeof payload.path === 'string' ? payload.path.slice(0, 200) : '/',
+    referrer: typeof payload.referrer === 'string' ? truncateReferrer(payload.referrer) : '',
+    timestamp: new Date().toISOString(),
+  };
+  // 3. IP-Anonymisierung (letztes Octett auf 0)
+  const anonIp = anonymizeIp(clientAddress);
+  const ipHash = crypto.createHash('sha256').update(anonIp).digest('hex').slice(0, 16);
+  // 4. Forward an EU-Analytics-Provider
+  await fetch(ANALYTICS_ENDPOINT, {
+    method: 'POST',
+    headers: {
+      'Content-Type': 'application/json',
+      Authorization: `Bearer ${ANALYTICS_TOKEN}`,
+    },
+    body: JSON.stringify({ ...safe, visitorHash: ipHash }),
+  });
+  return new Response(null, { status: 204 });
+};
+function anonymizeIp(ip: string): string {
+  if (ip.includes('.')) {
+    return ip.replace(/\.\d+$/, '.0');  // IPv4 /24
+  }
+  if (ip.includes(':')) {
+    return ip.split(':').slice(0, 4).join(':') + '::';  // IPv6 /64
+  }
+  return '0.0.0.0';
+}
+function truncateReferrer(ref: string): string {
+  try {
+    const url = new URL(ref);
+    return `${url.origin}${url.pathname}`;  // Kein Query-String
+  } catch {
+    return '';
+  }
+}
+```
+```astro
+---
+// File: src/components/PageView.astro
+---
+<script>
+  // Feuert nur nach Consent (siehe cookie-banner-pattern.md)
+  const consent = (() => {
+    try { return JSON.parse(localStorage.getItem('cookie-consent') ?? '{}'); }
+    catch { return {}; }
+  })();
+  if (consent.analytics) {
+    fetch('/api/track', {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify({
+        path: location.pathname,
+        referrer: document.referrer,
+      }),
+      keepalive: true,
+    });
+  }
+</script>
+```
+## AVV / DPA
+- Hosting-Adapter (Vercel / Netlify / Node-Self-Host) — Art. 28 DSGVO
+- Analytics-Provider (gewaehlt fuer EU-Region) — AVV + TIA bei Drittland-Backup-Region
+- Optional: Logging-Provider (Datadog / Sentry) — wenn Endpoint-Logs PII enthalten muessen Logs anonymisiert sein
+DSE-Pflicht-Eintrag: "Daten-Verarbeitung im Auftrag" — Tracker-Provider mit Sitz, EU-Hosting-Region, Speicherdauer, Loeschvereinbarung.
+## DSE-Wording-Vorlage
+```markdown
+### Webanalyse via Server-Endpoint
+Wir verarbeiten Webanalyse-Daten ueber unseren eigenen Server-Endpoint
+(`/api/track`). Daten werden vor Weitergabe an unseren Analytics-Anbieter
+anonymisiert:
+- IP-Adresse: gekuerzt auf /24-Subnetz (z.B. 192.168.1.0)
+- Referrer: ohne Query-String
+- Visitor-Hash: SHA-256, nicht reversibel
+**Anbieter:** <placeholder-analytics-provider>, Sitz: <placeholder-eu-country>,
+EU-Hosting-Region: <placeholder-region>.
+**Rechtsgrundlage:** § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO
+(Einwilligung).
+**Speicherdauer:** <placeholder-days> Tage, danach automatische Loeschung.
+**Widerruf:** [Cookie-Einstellungen](#cookie-settings) im Footer.
+```
+## Verify-Commands (Live-Probe)
+```bash
+# 1. Endpoint blockt ohne Consent-Cookie
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" -d '{"path":"/test"}' -i
+# Erwartung: 204 mit Body {"blocked":"no-consent"}
+# 2. Endpoint forwarded mit Consent
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" \
+  -H 'Cookie: cookie-consent=%7B%22analytics%22%3Atrue%7D' \
+  -d '{"path":"/test"}' -i
+# Erwartung: 204
+# 3. Pruefe IP-Anonymisierung (Provider-Logs)
+# Sollte 192.168.1.0 statt 192.168.1.42 zeigen
+# 4. Region-Pruefung
+dig <placeholder-domain> | grep -i "edge\|region"
+# Erwartung: EU-Region
+```
+## Cross-References
+- AEGIS-Scanner: `tracking-scan.ts`, `data-transfer-checker.ts`, `pii-flow-tracker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 44-46 (Drittland-Transfer), § 25 TDDDG
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- EDPB: `references/eu-edpb-guidelines.md` Recommendations 01/2020 SCC
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/auth0-tom.md ADDED Viewed

@@ -0,0 +1,92 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Auth0 (Okta, USA)
+provider-AVV-status: Standardvertrag verfuegbar (DPA + EU-SCC + DPF)
+last-checked: 2026-05-02
+purpose: Auth0 TOMs + DPA + DSE-Wording.
+---
+# Auth0 — TOMs + DPA + DSE-Wording
+## 1. Default-Verhalten
+- Datenstandort waehlbar: US / EU / Australia / Japan
+- **Default = US**! EU-Tenant muss explizit gewaehlt werden.
+- Sub-Auftragsverarbeiter: AWS (Hosting), CloudFlare (CDN)
+- Cookies: `auth0.is.authenticated`, `_legacy_*`, einige technisch noetig
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default-Region us-east-1 | Drittland-Transfer USA | EU-Tenant beantragen + Migration |
+| DPF-Status (Okta DPF-zertifiziert seit Sep 2023) | Drittland-Transfer-Risiko bei DPF-Klage | EU-Tenant + SCC zusaetzlich |
+| Cookies vor Consent | § 25 TDDDG | bei Login-Page nur necessary Cookies |
+| Magic-Link via Email | Phishing-Risiko | DMARC + SPF + DKIM auf custom-Sending-Domain |
+## 3. Code-Pattern (Next.js)
+```ts
+// File: src/lib/auth0.ts
+import { initAuth0 } from '@auth0/nextjs-auth0';
+export const auth0 = initAuth0({
+  baseURL: process.env.AUTH0_BASE_URL,
+  issuerBaseURL: process.env.AUTH0_ISSUER_BASE_URL,  // PFLICHT: EU-Tenant URL
+  clientID: process.env.AUTH0_CLIENT_ID,
+  clientSecret: process.env.AUTH0_CLIENT_SECRET,
+  secret: process.env.AUTH0_SECRET,
+  session: {
+    rollingDuration: 60 * 60 * 24,
+    absoluteDuration: 60 * 60 * 24 * 30,
+    cookie: {
+      sameSite: 'lax',
+      secure: true,
+      httpOnly: true,
+    },
+  },
+  routes: {
+    callback: '/api/auth/callback',
+    postLogoutRedirect: '/',
+  },
+});
+```
+## 4. EU-Tenant aktivieren
+Pflicht-Setting im Auth0-Dashboard:
+- Bei Tenant-Erstellung "EU" als Region waehlen
+- URL: `https://<tenant>.eu.auth0.com/...`
+Migration bestehender US-Tenant: nicht trivial, ggf. neue Tenant-ID + Daten-Migration.
+## 5. AVV / DPA
+- **DPA-Link**: https://www.okta.com/agreements/data-processing-addendum/
+- **SCC-Modul**: Module 2 (Controller-Processor)
+- **DPF**: seit Sep 2023 zertifiziert
+- **Sub-Processors**: https://www.okta.com/agreements/sub-processors/
+## 6. DSE-Wording-Vorlage
+> Wir nutzen den Identity-Service Auth0 (von Okta, Inc., 100 First St, San Francisco, USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Datenstandort: EU-Region (Frankfurt).
+> Auth0 ist DPF-zertifiziert (https://www.dataprivacyframework.gov). Zusaetzlich
+> haben wir EU-Standardvertragsklauseln Modul 2 abgeschlossen. Detaillierte
+> Datenschutzhinweise: https://www.okta.com/privacy-policy/.
+## 7. Verify
+```bash
+# Region-Check
+curl -sI "https://<tenant>.eu.auth0.com/" | grep -i "X-Region"
+# Erwartung: eu
+# Cookie-Inspection nach Login
+curl -sI https://example.com/api/auth/callback | grep -i set-cookie
+# Erwartung: Secure + HttpOnly + SameSite=Lax
+```
+## 8. Az.-Anker
+- EuGH C-311/18 Schrems II (DPF-Risiko)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/clerk-tom.md ADDED Viewed

@@ -0,0 +1,84 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Clerk (Clerk Inc., USA)
+provider-AVV-status: Standardvertrag verfuegbar (DPA + EU-SCC)
+last-checked: 2026-05-02
+purpose: Clerk TOMs + DPA + DSE-Wording.
+---
+# Clerk — TOMs + DPA + DSE-Wording
+## 1. Default-Verhalten
+- Datenstandort: US (default)
+- EU-Region verfuegbar via Setting (frankfurt-1)
+- Sub-Auftragsverarbeiter: AWS, CloudFlare
+- Cookies: `__session`, `__client`, `__refresh` — HttpOnly / Secure / SameSite=Lax
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default-Region US | Drittland-Transfer | EU-Region setzen (Dashboard > Settings > Region) |
+| Sub-Processor AWS | weiterer Transfer | DPA-Sub-Liste anhaengen |
+| MFA-Default off | Auth-Sicherheit | MFA aktivieren |
+## 3. Code-Pattern (Next.js)
+```ts
+// File: src/middleware.ts
+import { authMiddleware } from '@clerk/nextjs';
+export default authMiddleware({
+  publicRoutes: ['/', '/datenschutz', '/impressum'],
+  ignoredRoutes: ['/api/health'],
+});
+export const config = {
+  matcher: ['/((?!.+\\.[\\w]+$|_next).*)', '/', '/(api|trpc)(.*)'],
+};
+```
+```tsx
+// File: src/app/layout.tsx
+import { ClerkProvider } from '@clerk/nextjs';
+export default function RootLayout({ children }) {
+  return (
+    <ClerkProvider
+      // EU-Region via Dashboard-Setting; URL muss frankfurt-1 sein
+      appearance={{ /* ... */ }}
+    >
+      <html>
+        <body>{children}</body>
+      </html>
+    </ClerkProvider>
+  );
+}
+```
+## 4. EU-Region aktivieren
+Dashboard-Setting:
+- Settings > Region > Frankfurt
+- Bei Migration aus US: Daten-Migration via Clerk-Support
+## 5. AVV / DPA
+- **DPA-Link**: https://clerk.com/legal/dpa
+- **SCC-Modul**: Module 2
+- **Sub-Processors**: https://clerk.com/legal/subprocessors
+## 6. DSE-Wording-Vorlage
+> Wir nutzen den Identity-Service Clerk (Clerk Inc., 660 King St, San Francisco, USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Datenstandort: EU-Region (Frankfurt-1).
+> EU-SCC Modul 2 abgeschlossen. Datenschutzhinweise von Clerk: https://clerk.com/legal/privacy-notice.
+## 7. Verify
+```bash
+# Region-Check
+curl -sI "https://<your-clerk-domain>/api/v1/region" | grep -i "X-Region"
+# Erwartung: frankfurt-1
+```

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/nextauth-tom.md ADDED Viewed

@@ -0,0 +1,120 @@
+---
+license: MIT (snippet)
+provider: NextAuth.js / Auth.js (selbstgehostet)
+provider-AVV-status: nicht relevant (Self-hosted Library)
+last-checked: 2026-05-01
+---
+# NextAuth.js / Auth.js — Self-hosted Auth + DSE-Wording
+## 1. Default-Verhalten
+- Self-hosted Library (npm: `next-auth` v4 / `@auth/nextjs` v5)
+- Sessions: **JWT (default)** ODER Database-Sessions
+- Cookie: `next-auth.session-token`, HttpOnly, Secure, SameSite=Lax
+- Provider-Drittland-Risiken nur durch externe Auth-Provider (Google/GitHub/Apple)
+## 2. Compliance-Risiken (typische Konfigurationsfehler)
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| `JWT_SECRET` in Repo | Vollständiger Auth-Bruch | env-only + Secret-Rotation |
+| OAuth-Callback ohne CSRF-Token-Validierung | CSRF-Bug | Default-Verhalten von next-auth nutzen, NICHT custom |
+| Session-Cookie ohne `Secure` | Session-Hijack über HTTP | `cookies.sessionToken.options.secure: true` |
+| OAuth-Provider USA (Google, Apple, GitHub) | Drittland | DSE-Erwähnung pro Provider |
+| Magic-Link via E-Mail (Email Provider) | Phishing | DKIM + SPF + DMARC + Rate-Limit |
+## 3. Code-Pattern (Auth.js v5, sanitized)
+```ts
+// File: src/auth.ts (Auth.js v5)
+import NextAuth from 'next-auth';
+import Google from 'next-auth/providers/google';
+import GitHub from 'next-auth/providers/github';
+import Resend from 'next-auth/providers/resend';
+import { PrismaAdapter } from '@auth/prisma-adapter';
+import { prisma } from './lib/prisma';
+export const { handlers, auth, signIn, signOut } = NextAuth({
+  adapter: PrismaAdapter(prisma),
+  providers: [
+    Google({
+      clientId: process.env.GOOGLE_CLIENT_ID!,
+      clientSecret: process.env.GOOGLE_CLIENT_SECRET!,
+    }),
+    GitHub({
+      clientId: process.env.GITHUB_CLIENT_ID!,
+      clientSecret: process.env.GITHUB_CLIENT_SECRET!,
+    }),
+    Resend({ from: 'no-reply@<your-domain>' }),
+  ],
+  session: { strategy: 'database', maxAge: 30 * 24 * 60 * 60 }, // 30 Tage
+  cookies: {
+    sessionToken: {
+      name: '__Secure-next-auth.session-token',
+      options: {
+        httpOnly: true,
+        sameSite: 'lax',
+        path: '/',
+        secure: process.env.NODE_ENV === 'production',
+      },
+    },
+  },
+  callbacks: {
+    async session({ session, user }) {
+      session.user.id = user.id;
+      return session;
+    },
+  },
+  pages: {
+    signIn: '/login',
+    error: '/login?error',
+  },
+  events: {
+    async signIn({ user }) {
+      // Audit-Log
+      await prisma.authLog.create({
+        data: { userId: user.id, event: 'sign_in', timestamp: new Date() },
+      });
+    },
+  },
+});
+```
+## 4. DSE-Wording-Vorlage
+> **Authentifizierung (NextAuth / Auth.js).** Für die Anmeldung an
+> unserem Dienst nutzen wir die Open-Source-Library NextAuth.js (selbst
+> auf unseren EU-Servern gehostet). Wir bieten folgende Anmeldemethoden:
+>
+> - **E-Mail-Magic-Link** (E-Mail-Versand via Resend / All-Inkl-SMTP, je nach Konfiguration).
+> - **Google-Login** (Google Ireland Limited / Google LLC, USA — Drittland-Transfer mit DPF + SCC).
+> - **GitHub-Login** (GitHub Inc., USA — Drittland-Transfer mit DPF + SCC).
+> - **Apple Sign-In** (Apple Distribution International, Irland).
+>
+> Bei Nutzung eines OAuth-Providers (Google / GitHub / Apple) werden
+> Daten an den jeweiligen Anbieter übermittelt. Rechtsgrundlage: Art. 6
+> Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für Drittlandtransfer
+> Art. 45/46 DSGVO. Wir speichern lokal: Provider-User-ID, E-Mail,
+> Profilbild-URL (sofern vom Provider freigegeben), Login-Zeitpunkt.
+## 5. Verify-Commands
+```bash
+# Cookie-Inspektion nach Login
+curl -sI -b /tmp/auth-cookies.txt -c /tmp/auth-cookies.txt \
+  https://<your-domain>/api/auth/session
+# erwarte: __Secure-next-auth.session-token mit HttpOnly, Secure, SameSite=Lax
+# CSRF-Token-Endpoint (next-auth's automatic CSRF-Schutz)
+curl -s https://<your-domain>/api/auth/csrf | jq .csrfToken
+# erwarte: 64-char Token
+# Brute-Force-Test (manuell — sollte nach 5 Versuchen drosseln)
+# Implementiere selbst Rate-Limit auf /api/auth/callback/credentials
+```
+## 6. Az.-Anker
+- LG Berlin II 97 O 81/23 (Passwort-Identifikation, 27.11.2024)
+- DSGVO Art. 32 (TOMs für Auth-Cookies — HttpOnly + Secure + SameSite)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/auth/supabase-auth-tom.md ADDED Viewed

@@ -0,0 +1,104 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Supabase Inc. (Delaware, USA)
+provider-AVV-status: Standardvertrag verfügbar (DPA + EU-SCC)
+last-checked: 2026-05-01
+---
+# Supabase Auth — TOMs + DPA + DSE-Wording
+## 1. Default-Verhalten ohne Konfiguration
+- Datenstandort konfigurierbar (eu-central-1 / eu-west-2 / ap-southeast-1 / us-east-1 / etc.)
+- **Default-Cookie**: `sb-<project>-auth-token`, HttpOnly, Secure, SameSite=Lax (in @supabase/ssr v0.5+)
+- Authentifizierungs-Daten in PostgreSQL-Schema `auth` mit RLS
+- Sub-Auftragsverarbeiter: AWS (Hosting), CloudFlare (CDN), Stripe (Billing für Pro-Tier)
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| Default-Region us-east-1 | Drittland-Transfer USA | EU-Region setzen (eu-central-1 = Frankfurt) |
+| Sub-Processor AWS | weiterer Transfer | DPA-Sub-Liste anhängen |
+| `auth.users.email` ohne Verschlüsselung | DSGVO Art. 32 — minimal-akzeptabel | Plus: PII-pseudonymized columns |
+| Magic-Link via E-Mail | Phishing-Risiko | DMARC + SPF + DKIM auf custom-Sending-Domain |
+## 3. Code-Pattern (sanitized)
+```ts
+// File: src/lib/supabase/client.ts
+// SSR-safe pattern with @supabase/ssr v0.5+
+import { createBrowserClient } from '@supabase/ssr';
+export const createClient = () =>
+  createBrowserClient(
+    process.env.NEXT_PUBLIC_SUPABASE_URL!,
+    process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY!,
+    {
+      auth: {
+        flowType: 'pkce', // PKCE statt implicit — Pflicht für Sicherheit
+        autoRefreshToken: true,
+        persistSession: true,
+        detectSessionInUrl: true,
+      },
+      cookies: {
+        // Cookie-Hardening
+        sameSite: 'lax',
+        secure: true,
+      },
+    },
+  );
+```
+```sql
+-- Pflicht: RLS auf jeder Tabelle die User-Daten enthält
+ALTER TABLE public.<your_table> ENABLE ROW LEVEL SECURITY;
+CREATE POLICY "users_select_own"
+ON public.<your_table>
+FOR SELECT
+USING (user_id = auth.uid());
+-- Anti-Pattern (KEINE!) für public-schema RPCs:
+-- CREATE FUNCTION public.foo(p_user_id uuid) ... SECURITY DEFINER
+-- → CWE-863 Anti-Pattern (siehe AEGIS rls-defense skill)
+```
+## 4. AVV / DPA
+- **DPA-Link**: https://supabase.com/legal/dpa
+- **SCC-Modul**: Module 2 (Controller-Processor) + Module 3 für Sub-Processors
+- **AVV-Stand**: 2024-Q1 (mit DPF-Erweiterung)
+- **Sub-Processors**: https://supabase.com/legal/sub-processors
+## 5. DSE-Wording-Vorlage
+> Wir nutzen den Auth- und Datenbank-Service von Supabase Inc. (970 Toa
+> Payoh North #07-04, Singapur 318992, mit Headquarters in Delaware/USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Daten werden in
+> der EU-Region (Frankfurt, eu-central-1) gespeichert. Für unvermeidbare
+> Datenübermittlungen in die USA (Stripe-Billing, US-Sub-Processors)
+> haben wir EU-Standardvertragsklauseln (Modul 2/3) abgeschlossen.
+> Datenschutzhinweise von Supabase: https://supabase.com/privacy.
+## 6. Verify-Commands
+```bash
+# Region-Check
+curl -s "https://<project>.supabase.co/rest/v1/" \
+  -H "apikey: $ANON_KEY" -I | grep -i "region\|x-region"
+# Cookie-Inspection
+curl -sI https://<your-domain>/api/auth/callback | grep -i set-cookie
+# erwarte: HttpOnly, Secure, SameSite=Lax
+# RLS-Probe (anon-Token darf NICHT alle rows sehen)
+curl -s "https://<project>.supabase.co/rest/v1/<table>?select=*" \
+  -H "apikey: $ANON_KEY" | jq 'length'
+# erwarte: 0 (anon hat keine Rows ohne Login)
+```
+## 7. Az.-Anker
+- AEGIS-Lessons: 21 CWE-863 IDOR-Vulns aus public-schema-SECURITY-DEFINER-RPCs (operativer Audit 2026-04-29 einer Pet-Care-Plattform)
+- Pattern: SECURITY-DEFINER-Functions in `public` brauchen `auth.uid()`-Guard + REVOKE FROM PUBLIC