News

BKF-Parkplatzkarte: Security-Update und stabilerer Live-Update-Flow

Die Parkplatzkarte wurde sicherheitstechnisch nachgeschärft: abgesicherter Update-Endpunkt, härtere Link-Validierung und reduzierte Datenlecks im Fehlerfall.

Für die BKF-Parkplatzkarte wurde ein gezieltes Security-Update ausgerollt. Fokus war: weniger Angriffsfläche, saubereres Secret-Handling und stabilere Update-Abläufe im Betrieb.

Direkt zur Karte: BKF-Parkplatzkarte

Was wurde geändert?

1. Update-Endpunkt abgesichert

  • Token liegt nicht mehr fest im Code.
  • Authentifizierung läuft jetzt primär über Header (X-Update-Token) bzw. Bearer-Header.
  • Standardaufruf ist auf POST begrenzt.
  • Legacy-Query-Token ist nur noch optional und explizit per Env-Flag aktivierbar.

2. Informationslecks reduziert (Backend)

  • Interne Pfade und Detailfehler werden im Normalbetrieb nicht mehr nach außen gegeben.
  • Erweiterte Debug-Details erscheinen nur noch, wenn Debug explizit aktiv ist.

3. Installationshinweis jetzt strikt auf Parkplatzkarte begrenzt

  • Der PWA-Installationshinweis wird nur noch im Kontext der Parkplatzkarte ausgeliefert.
  • Kein globales Erscheinen mehr beim bloßen Aufruf anderer Seiten.
  • Zusätzlich bleibt die bestehende Karten-/Nutzungslogik aktiv, damit der Hinweis weiterhin nur kontextsensitiv angezeigt wird.
  • Externe Links aus Kartendaten werden vor Ausgabe auf erlaubte Protokolle geprüft.
  • Für neue Tabs wurde die rel-Absicherung (noopener noreferrer) konsequent ergänzt.

5. Update-Skript modernisiert

  • Neues Trigger-Skript für den Live-Update-Flow arbeitet mit POST + Header-Token.
  • Fallback auf Legacy-Query ist nur für Übergangsphasen vorgesehen.

Ergebnis

Die Parkplatzkarte bleibt funktional unverändert im Frontend, ist aber im Hintergrund deutlich robuster und sicherer aufgestellt.