tipsigurnost
sto_trebaZatvoriti LIVE javno curenje poslovnih GET endpointa (osobe/firme/arhiva/racuni/pos...) bez tokena.
nalazCjelina 3 ponašajni test: 31 poslovna GET ruta servirala podatke (PII test-Synesis 2025, fakture, OIB, ugovori, cijeli arhiv-export) BEZ tokena, javno preko genesislogin.online. Korijen: SudacMiddleware gate-a samo WRITE (API ključ), READ uopće ne gate-a; per-ruta auth na samo 9/113 modula; Membrana
fixCentralni read-gate u SudacMiddleware._handle: GET/HEAD na _SOBE_TREBA_SESIJU prefikse (racuni,osobe,firme,arhiva,komitenti,pacijenti,skladista,zalihe_optika,narudzbe,izvjestaji,kaucija,transfers,tenants,podruznice,artikli,media,partneri,pos,placa,dispo) bez valjane sesije/M2M-ključa → 401. Helper _
dokaz_prije_deployaŽivi proof: login token → _redis.hgetall(_session_kljuc(token))=True (vlasnik se prepoznaje); settings.GENESIS_API_KEY postoji+postavljen. Oba tiha-obrata isključena mjerenjem PRIJE .bak.
dokaz_poslije_deploya{
"coverage_sobe": "31 → 0 otvorenih",
"login_cjelina1": "7/7 (čisto; baseline 2/7 bio Puž rate-limit artifakt mog bursta)",
"osobe_bez_tokena": "401 (lopov vani)",
"osobe_s_validnim_tokenom": "200 (vlasnik unutra — surgički, isti token koji /me prihvaća)",
"predvorje": "recovery/brsljani/smjestaj/bon/checkin → nije 401 (javno netaknuto)",
"dispo": "bez=401 (soba), sa=404 (nema GET / rute) — gate radi"
}
auto_revertDeploy skripta auto-revert (.bak_mitig_20260614 + restart) ako owner-401 ILI login!=7/7 ILI servis ne digne. Nije se aktivirao — guardi prošli.
ostaje_donja_granicaRead-gate gađa SAMO GET/HEAD. POST-read kroz catch-all NETESTIRAN → 31 je donja granica, otvorena nit za kasnije. Iskreni status, ne riješeno.
filozofijaDvorac (predvorje) javan — svi dobrodošli. Sobe (podaci) traže 'uzimanje mjere' (prijava=device-binding, diže hardver). Simbioza, ne pijavica — Puž: 'za vlasnika sloboda, za lopova zatvor'.
zakon[
"ZAKON NAD ZAKONIMA (owner-prolaz dokazan PRIJE deploya, ne pretpostavljen — razlika od commita 3047da28)",
"ZAKON 29 (sigurnost default)",
"ZAKON 30",
"ZAKON 32"
]
statusDEPLOYAN + DOKAZAN — Cjelina 3 iz 🔴 u zeleno (kuća dobila zid)
krunica_hash32659929d2ca8b5c4cf4847c316ee87f104666c6bd9cdf192753ab4da228e44b
content_seal_sha3bc97318ba917176952e129a23775deab2a7dce79a3911338f48206276854f377