Ticket System

Einstellungen – Sicherheit

Startprüfung: Alle aktivierten Startschutzfunktionen wurden ohne kritischen Fehler geladen.

Sicherheits-Dashboard

Startprüfung

OK

Die beim Start geladenen Sicherheitswerte wurden ohne kritischen Fehler angewendet.

Einstellung öffnen

Admin-Center

Nicht ausreichend geschützt

Für das Admin-Center ist kein Kennwort vorgeschrieben.

Einstellung öffnen

Kestrel-Bindung

Offen auf allen Schnittstellen

Kestrel kann direkt statt nur über HAProxy erreicht werden.

Einstellung öffnen

Backend-Firewall

Nicht eingeschränkt

Die Backendports sind nicht durch die Anwendung auf die HAProxy-IP begrenzt.

Einstellung öffnen

KnownProxy

::ffff:172.19.0.5

Nur der eingetragene HAProxy darf X-Forwarded-Header liefern. HAProxy muss eingehende Forwarded-Header überschreiben und darf sie nicht ungeprüft vom Client übernehmen.

Einstellung öffnen

AllowedHosts

ticket1.coteki.com;app-ticket.coteki.com

Öffentliche Hosts sind begrenzt; localhost bleibt als Wiederherstellungsweg erlaubt.

Einstellung öffnen

Flutter-App HTTPS

HTTPS aktiv

Die App nutzt standardmäßig https://app-ticket.coteki.com. HTTP-Aufrufe an die API werden abgewiesen.

Einstellung öffnen

Rate-Limits

Aktiv mit Login-Sperre

Login, Registrierung, Displayregistrierung, API, Fotos und Ticketzugriffe werden pro IP begrenzt und Ablehnungen protokolliert.

Einstellung öffnen

Header und Cookies

Aktiv

Sicherheitsheader, HSTS bei HTTPS sowie Secure-, HttpOnly- und SameSite-Cookies.

Einstellung öffnen

Uploadprüfung

Aktiv

Dateigröße, Endung, MIME-Typ, Signatur, App-Paketstruktur und Backupinhalte werden geprüft.

Einstellung öffnen

Token und Sitzungen

Rotation 30 / Ablauf 90 Tage

Browser 30 Tage, Display 30 Tage, Admin-Inaktivität 30 Minuten.

Einstellung öffnen

Kennwörter und Geheimnisse

Einzelschalter aktiv

SMTP: nicht gesetzt (Verschlüsselung aktiv) | M365 Client-Secret: nicht gesetzt (Verschlüsselung aktiv) | M365 Zertifikatskennwort: nicht gesetzt (Verschlüsselung aktiv) | Firebase: nicht gesetzt (Verschlüsselung aktiv). Jeder Eintrag kann unabhängig verschlüsselt oder im Klartext gespeichert werden.

Einstellung öffnen

Sicherheitsprotokollierung

Aktiv

Startfehler, HTTPS-Ablehnungen, Rate-Limits, Uploadfehler, Firewallstatus, Tokens, Cookies und Admin-Sitzungen werden im System-Log erfasst.

Einstellung öffnen

HAProxy und Backend

Die Adresse muss auf diesem Server vorhanden sein. 127.0.0.1 ist richtig, wenn HAProxy auf demselben Server läuft.
localhost und Loopback werden intern immer als Wiederherstellungsweg ergänzt. Der aktuell verwendete öffentliche Host muss in der Liste enthalten sein. Lokaler Notzugang: http://127.0.0.1:5055/Admin/Login

Kennwort- und Geheimnisspeicherung

Jeder Eintrag wird unabhängig gespeichert. Beim Umschalten wird ein vorhandener Wert automatisch in die gewählte Speicherart überführt. Das Admin-Kennwort wird unter Allgemein → Admin-Passwort gesetzt.

Flutter-App bevorzugt HTTPS

Die App verwendet standardmäßig https://ticket.coteki.de:5056. Ist der HTTPS-Schalter auf dem Server deaktiviert, darf die App nach erfolgreicher Serverprüfung auf HTTP zurückfallen; der Zustand wird im Dashboard als Warnung angezeigt.

App-/API-Port und Reverse-Proxy-Einstellungen öffnen

Rate-Limits und Login-Sperre

Die Registrierung umfasst App-, Browser- und Displayregistrierungen. Sperren und 429-Ablehnungen werden im System-Log protokolliert.

Browser- und Session-Schutz

Token-, Cookie- und Sitzungs-Laufzeiten

Token- und Cookiewerte werden direkt angewendet. Eine geänderte Admin-Sitzungsdauer wird nach einem Serverneustart aktiv.

Uploadprüfung

APK, AAB und IPA werden auf ihre interne Paketstruktur geprüft. Backups dürfen nur die BS29-Datenbank und freigegebene Uploadformate enthalten.

Gespeicherte Zugangsdaten

Jeder aktivierte Einzelschalter speichert nur das zugehörige Geheimnis verschlüsselt in SQLite. Sicherungen enthalten für aktivierte Einträge ausschließlich die verschlüsselten Werte. Bei einer Wiederherstellung auf einem anderen Server müssen diese Zugangsdaten erneut eingetragen werden, wenn die ursprünglichen Data-Protection-Schlüssel dort nicht vorhanden sind.

E-Mail-Zugangsdaten öffnen Firebase-Einstellungen öffnen

Sicherheits-Dashboard anpassen

Mit den Pfeilen wird die Reihenfolge geändert. Kacheln können wie im normalen Admin-Dashboard ein- und ausgeblendet werden.

Startprüfung
Sichtbar
Admin-Center
Sichtbar
Kestrel-Bindung
Sichtbar
Backend-Firewall
Sichtbar
KnownProxy
Sichtbar
AllowedHosts
Sichtbar
Flutter-App HTTPS
Sichtbar
Rate-Limits
Sichtbar
Header und Cookies
Sichtbar
Uploadprüfung
Sichtbar
Token und Sitzungen
Sichtbar
Kennwörter und Geheimnisse
Sichtbar
Sicherheitsprotokollierung
Sichtbar
Zurück