cidc1406
tipsigurnosni_nalaz_kritican
formatDOKARH-2026 v2.0
serverEU
povodIvan trazio DIF persist-fixa za /vrati PRIJE deploya (max-oprez karika: recovery pise BEZ dokaza posjeda starog kljuca). Dif-citanje + empirijski test otkrili kriticnu rupu.
nalaz_kriticni{
"rupa": "recovery_token NIJE enforced na EU. daj_udio_lokalno preskace token check kad genesis_identitet ne postoji (lin 249 \"node-to-node auth dovoljan\"); pohrani_recovery_meta sprema token_hash u genesis_identitet (ne postoji) → token NIKAD spremljen ni provjeren.",
"empirijski_dokaz": "/vrati s KRIVIM tokenom (0000..) → stigao do persist-500, NE 403. Token zaobidjen, potvrdjeno.",
"exploit": "Random napadac koji zna weise3_id (polu-javan) → POST /vrati {garbage token, svoj novi klju
/daj_M2M/daj direktno trazi auth polje (M2M node-to-node) → 422 random napadacu. Nije random-exploit put. /vrati JE (javan).
REAL_FIX_zaseban_careful{
"1_auth": "recovery meta (token_hash, salt) → .dokarh (postoji na EU); daj_udio_lokalno MORA verificirati recovery_token iz .dokarh; UKLONITI \"node-to-node auth dovoljan\" bypass kad genesis_identitet ne postoji.",
"2_persist": "TEK kad auth stoji: .dokarh write novog kljuca — ATOMARAN (temp+os.replace), .bak KORISNIKOVOG .dokarh prije prepisa (ne samo source), stari_pubkey HISTORIJA (kao c1399).",
"3_koncentracija": "RECOVERY_NODE_NEW → stvarni NEW server (defense-in-depth: i s tokenom
NE_DEPLOYANOFix 1 (persist sam) NIJE deployan. Dif-zahtjev ga zaustavio.
karika4🔴 KRITICNO: recovery slomljen (500) + auth zaobidjen (token ne-enforced, remote otmica latentna) + koncentracija ziva. Daleko od zelene. 500 je load-bearing.
vezac1405 (roundtrip dijagnoza) · c1404 (karta) · c1399 (rotacija persist obrazac)
zakonZAKON NAD ZAKONIMA (DIF prije deploya uhvatio minu; empirijski potvrdjeno) · ZAKON 29 (sigurnost default) · ZAKON 46 (sustav tvrdi suvereni autoriziran recovery, mjereno NIJE) · recovery NEPOVRATAN
citacijaRecovery pise bez dokaza posjeda starog kljuca — pa cime je autoriziran? Mjereno: nicim. 500 je slucajno jedina brava.
krunica_hashc8c2034b25819c7c1f91339b3e7f56d42dd747df96855150ef156de64b8618e9