Update Apache SSL configuration and enhance security features across multiple files. Changed X-Frame-Options to SAMEORIGIN for better security, added optional Content Security Policy headers for testing, and improved password handling with HaveIBeenPwned checks during user registration and password reset. Implemented passkey login functionality in the authentication flow, including UI updates for user experience. Enhanced image upload processing with size limits and validation, and added rate limiting for various API endpoints to prevent abuse.

DATENSCHUTZ_UEBERSICHT.md

@@ -77,12 +77,14 @@
 
 ### Algorithmus & Konfiguration:
 
-- **Algorithmus**: AES-256-CBC
+- **Algorithmus**: AES-256-GCM (AEAD, Stand der Technik)
 - **Schlüsselableitung**: PBKDF2 mit SHA-512
 - **Iterationen**: 100.000 Runden
 - **Salt-Länge**: 32 Bytes (zufällig pro Verschlüsselung)
-- **IV-Länge**: 16 Bytes (zufällig pro Verschlüsselung)
-- **Format**: Base64-kodiert (Salt + IV + verschlüsselter Text)
+- **IV-Länge**: 12 Bytes (zufällig pro Verschlüsselung)
+- **Auth-Tag**: 16 Bytes (GCM)
+- **Format**: `v2:` + Base64-kodiert (Salt + IV + Auth-Tag + Ciphertext)
+- **Rückwärtskompatibilität**: bestehende, ältere Daten ohne Prefix werden weiterhin entschlüsselt (legacy AES-256-CBC)
 
 ### Verschlüsselungsschlüssel:
 
@@ -123,10 +125,26 @@
 
 - **Name**: `auth_token`
 - **HttpOnly**: `true` (verhindert JavaScript-Zugriff)
-- **Secure**: `false` (in Production sollte dies `true` sein, wenn HTTPS verwendet wird)
-- **SameSite**: `lax`
+- **Secure**: `true` in Produktion (konfigurierbar via `COOKIE_SECURE`)
+- **SameSite**: `strict` in Produktion (konfigurierbar via `COOKIE_SAMESITE`)
 - **MaxAge**: 7 Tage (604.800 Sekunden)
 
+### Rate Limiting / Brute-Force-Schutz:
+
+- **Login**: IP- und Account-basiertes Rate Limiting mit Lockout + Backoff (`/api/auth/login`)
+- **Passwort-Reset**: IP- und Account-basiertes Rate Limiting (`/api/auth/reset-password`)
+- **Newsletter**: Rate Limits für Subscribe/Unsubscribe/Check (`/api/newsletter/*`)
+
+### Passwortprüfung (HaveIBeenPwned):
+
+- Optional aktivierbar via `HIBP_ENABLED=true`
+- Implementiert per k-Anonymity (Pwned Passwords „range“ API)
+
+### Audit-Logging (Security Operations):
+
+- Audit-Events werden als JSONL in `server/data/audit.log.jsonl` geschrieben (abschaltbar via `AUDIT_LOG_ENABLED=false`)
+- Enthält u.a. Login-Erfolg/Fehlschlag, Passwort-Reset Requests, Rollenänderungen, User-Freischaltung/Deaktivierung/Ablehnung
+
 ### Authentifizierungs-Endpunkte:
 
 - `POST /api/auth/login` - Login mit E-Mail/Passwort
@@ -135,6 +153,19 @@
 - `POST /api/auth/reset-password` - Passwort-Reset
 - `GET /api/auth/status` - Prüft aktuellen Auth-Status
 
+### Passkeys (WebAuthn):
+
+- **Ziel**: Passwortlose Anmeldung ohne zweiten Faktor (Passkey = starker Login am Gerät)
+- **Registration** (nur für eingeloggte Nutzer im Profil):
+  - `POST /api/auth/passkeys/registration-options`
+  - `POST /api/auth/passkeys/register`
+- **Login** (öffentlich):
+  - `POST /api/auth/passkeys/authentication-options`
+  - `POST /api/auth/passkeys/login`
+- **Verwaltung**:
+  - `GET /api/auth/passkeys/list`
+  - `POST /api/auth/passkeys/remove`
+
 ---
 
 ## 🛡️ API-Endpunkte & Zugriffsschutz