Update Apache SSL configuration and enhance security features across multiple files. Changed X-Frame-Options to SAMEORIGIN for better security, added optional Content Security Policy headers for testing, and improved password handling with HaveIBeenPwned checks during user registration and password reset. Implemented passkey login functionality in the authentication flow, including UI updates for user experience. Enhanced image upload processing with size limits and validation, and added rate limiting for various API endpoints to prevent abuse.

DEPLOYMENT.md

@@ -123,3 +123,30 @@ pm2 save
 - **Bei Deployment:** Immer Backup → Build → Restore
 - **Bei Problemen:** Script verwenden oder manuell Daten sichern
 
+---
+
+## Security Operations (Empfehlungen)
+
+### Sicherheitsupdates (OS/Libs)
+
+- **OS Updates**: mindestens monatlich (besser: automatisiert via unattended-upgrades) + Reboot-Fenster einplanen
+- **Node/NPM Dependencies**: Renovate ist vorhanden (`renovate.json`). Zusätzlich regelmäßig `npm audit` prüfen und Updates einspielen.
+
+### Backup / Wiederherstellung
+
+- **Backup-Inhalt**: mindestens `server/data/` + `public/data/` (+ optional `public/uploads/` / `server/data/galerie/`)
+- **Frequenz**: täglich (inkrementell) + wöchentlich (voll) als Richtwert
+- **Ablage**: getrennt vom Server (Offsite), z.B. verschlüsselt (restic/borg) auf Storage
+- **Restore-Drill**: mindestens quartalsweise Wiederherstellung testen
+
+### SSH-Härtung
+
+- **Nur Key-Auth** (PasswordAuthentication=no), Root-Login deaktivieren (PermitRootLogin=no)
+- **2FA/MFA** optional via SSH-CA / PAM / Bastion Host
+- **Fail2ban** oder äquivalente Schutzmaßnahmen für SSH in Betracht ziehen
+
+### Logging / Audit
+
+- Audit-Log (JSONL) liegt unter `server/data/audit.log.jsonl` (abschaltbar via `AUDIT_LOG_ENABLED=false`)
+- Empfehlung: Log-Rotation + gesicherte Aufbewahrung (z.B. journald/rotate + offsite)
+