npm - @press2ai/engine - Versions diffs - 0.4.0 → 0.4.1 - Mend

@press2ai/engine 0.4.0 → 0.4.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (2) hide show

package/package.json +1 -1
package/src/ceidg-vertical.ts +27 -34

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@press2ai/engine",
-  "version": "0.4.0",
+  "version": "0.4.1",
   "description": "Multi-tenant runtime + template contracts dla otwarty-* verticali. SSR na Cloudflare Workers, isomorphic renderer (SSG/browser w roadmapie).",
   "type": "module",
   "license": "MIT",

package/src/ceidg-vertical.ts CHANGED Viewed

@@ -22,10 +22,10 @@
  *     i — fix względem starego trener-landinga — `cities` query też filtruje
  *     po kategorii (wcześniej trener pokazywał miasta z całej tabeli leads,
  *     mieszając wszystkie wertykale).
- *   - Opt-out jest **globalny** i **hard delete**: DELETE FROM leads + wpis
- *     w `opted_out_nips` (blacklist NIP-ów żeby sync nie wprowadził z powrotem).
- *     RODO art. 17 — usunięcie danych osobowych, nie soft flag. Z karty profilu
- *     przez slug (jeden klik), bez formularza NIP.
+ *   - Opt-out jest **globalny** — UPDATE leads bez filtra category. RODO
+ *     sprzeciw to usunięcie danych osobowych, nie selektywne ukrycie w jednej
+ *     kategorii. Soft flag + filtr w queries — hard delete bez proof-of-ownership
+ *     jest podatny na sabotage (patrz NEXT-STEPS manifest-1/manifest-2 notatka).
  *
  * Hono jest peer dependency (każdy wertykal i tak go ma). Engine core nie
  * importuje Hono — tylko ten subpath go używa.
@@ -54,6 +54,7 @@ export type CeidgLead = {
   claimed: number;
   external_site_url: string | null;
   fetched_at: number;
+  opted_out_at: number | null;
 };
 export type CeidgBindings = { DB: D1Database; CACHE: KVNamespace };
@@ -108,15 +109,17 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
   // ─────────── SQL ───────────
   // EXISTS subselect zamiast JOIN: lead z N PKDs nie multiplikuje wierszy.
   // (SELECT pkd ... LIMIT 1) wybiera jeden PKD per lead — wystarczy do
-  // pkdToJobTitle. Świadome uproszczenie: lead z mieszanymi PKDs dostanie
-  // jeden label. Filtr opted-out zbędny — opt-out to hard delete (0010).
+  // pkdToJobTitle. To jest świadomy uproszczenie: lead z mieszanymi PKDs
+  // (np. fizjoterapia + psychologia) dostanie tylko jeden label.
   const leadsQuery = `
     SELECT l.nip, l.first_name, l.last_name, c.name as city,
            l.company_name, l.slug, l.claimed, l.external_site_url, l.fetched_at,
+           l.opted_out_at,
            (SELECT pkd FROM lead_pkd WHERE nip = l.nip LIMIT 1) as pkd
     FROM leads l
     LEFT JOIN cities c ON l.city_id = c.id
-    WHERE EXISTS (SELECT 1 FROM lead_categories WHERE lead_nip = l.nip AND category = ?)`;
+    WHERE l.opted_out_at IS NULL
+      AND EXISTS (SELECT 1 FROM lead_categories WHERE lead_nip = l.nip AND category = ?)`;
   // Cities query filtruje po kategorii — fix względem starego trener landinga
   // który pokazywał miasta z całej tabeli leads (mieszane wertykale).
@@ -125,6 +128,7 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
     FROM leads l
     JOIN cities c ON l.city_id = c.id
     INNER JOIN lead_categories lc ON l.nip = lc.lead_nip AND lc.category = ?
+    WHERE l.opted_out_at IS NULL
     GROUP BY c.name ORDER BY count DESC LIMIT 8`;
   // ─────────── Content loader ───────────
@@ -258,15 +262,10 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
   }
   app.get('/opt-out', (c) => c.html(renderStatic(pages.optOutForm)));
-  // One-click opt-out: przycisk na karcie profilu POST-uje slug. Hard delete
-  // z `leads` (cascade do `lead_pkd`/`lead_categories`) + insert do blacklisty
-  // `opted_out_nips` żeby sync nie wprowadził NIP-a z powrotem. Rate limit
-  // 5/h/IP przeciw abuse — slug jest publiczny, ktokolwiek może nukeować,
-  // ale katalog to publiczne wizytówki z CEIDG, nie konta.
   app.post('/opt-out', async (c) => {
     const form = await c.req.formData();
-    const slug = String(form.get('slug') ?? '').trim();
-    if (!slug) return c.text('Brak slug', 400);
+    const nip = String(form.get('nip') ?? '').replace(/\D/g, '');
+    if (nip.length !== 10) return c.text('Nieprawidłowy NIP', 400);
     const ip = c.req.header('cf-connecting-ip') ?? '0.0.0.0';
     const rlKey = `vertical:${category}:rl:optout:${ip}`;
@@ -274,21 +273,20 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
     if (rlVal >= OPTOUT_LIMIT) return c.text('Zbyt wiele prób. Spróbuj ponownie za godzinę.', 429);
     await c.env.CACHE.put(rlKey, String(rlVal + 1), { expirationTtl: OPTOUT_WINDOW_SEC });
-    const row = await c.env.DB
-      .prepare('SELECT nip FROM leads WHERE slug = ?')
-      .bind(slug)
-      .first<{ nip: string }>();
-    if (!row) return c.text('Nie znaleziono wpisu', 404);
-    const now = Math.floor(Date.now() / 1000);
-    const ipHash = await sha256Hex(ip + ':' + slug);
-    await c.env.DB.batch([
-      c.env.DB.prepare('INSERT OR IGNORE INTO opted_out_nips (nip, opted_out_at, ip_hash) VALUES (?, ?, ?)').bind(row.nip, now, ipHash),
-      c.env.DB.prepare('DELETE FROM lead_categories WHERE lead_nip = ?').bind(row.nip),
-      c.env.DB.prepare('DELETE FROM lead_pkd WHERE nip = ?').bind(row.nip),
-      c.env.DB.prepare('DELETE FROM leads WHERE nip = ?').bind(row.nip),
-    ]);
+    // Opt-out jest GLOBALNY — usuwa też z innych wertykali. RODO sprzeciw to
+    // usunięcie danych osobowych, nie selektywne ukrycie w jednej kategorii.
+    // Soft flag (nie DELETE) — defense in depth przeciw masowej sabotage:
+    // catalog.json emituje slug+imię+miasto bez NIP, więc adversary musi
+    // zmapować slug→NIP przez CEIDG pod rate limit (6000 req/h); dodatkowo
+    // soft flag jest natychmiast odwracalny jednym UPDATE gdyby coś poszło nie tak.
+    const res = await c.env.DB
+      .prepare(
+        'UPDATE leads SET opted_out_at = ?, opted_out_ip = ?, opted_out_ua = ? WHERE nip = ? AND opted_out_at IS NULL',
+      )
+      .bind(Math.floor(Date.now() / 1000), ip, c.req.header('user-agent') ?? '', nip)
+      .run();
+    if (!res.meta.changes) return c.text('Nie znaleziono wpisu', 404);
     return c.html(renderStatic(pages.optOutDone));
   });
@@ -310,8 +308,3 @@ export function createVerticalApp(config: VerticalConfig): Hono<{ Bindings: Ceid
   return app;
 }
-async function sha256Hex(input: string): Promise<string> {
-  const buf = await crypto.subtle.digest('SHA-256', new TextEncoder().encode(input));
-  return Array.from(new Uint8Array(buf)).map((b) => b.toString(16).padStart(2, '0')).join('');
-}