# Learnings

## LRN-20260129-001: Browser-Snapshots leaken Passwort-Feld-Inhalte

**Datum:** 2026-01-29
**Kategorie:** Security / Browser Automation
**Schwere:** Hoch

### Problem
Browser-Snapshots (accessibility tree) lesen den tatsächlichen Wert von Passwort-Feldern aus, auch wenn sie visuell maskiert sind (●●●●). Der Klartext landet dann im Chat-Kontext.

### Beispiel
```
textbox "Passwort" [ref=e19]: geheimes_passwort
```

### Lösung
Bei Login-Flows mit Passwörtern:
1. **Kein Snapshot** nachdem das Passwort eingefügt wurde
2. Direkt auf Submit/Anmelden klicken
3. Erst nach erfolgreichem Login wieder Snapshot machen

### Workflow für sichere Logins
```
1. Snapshot (Login-Seite sehen)
2. Username eintippen
3. james-fill "entry-name" (PW ins Clipboard)
4. Ins Passwort-Feld klicken
5. Paste (Cmd+V)
6. KEIN SNAPSHOT!
7. Direkt Submit klicken
8. Snapshot (eingeloggte Seite)
```

### WICHTIG: Niemals Passwörter im Chat wiedergeben!
Auch wenn ein Passwort versehentlich im Kontext landet:
- **NIEMALS** im Chat zitieren oder wiederholen
- Nicht in Erklärungen einbauen
- Nicht als Beispiel verwenden
- Einfach ignorieren und weitermachen

Das gilt auch für: API-Keys, Tokens, private Schlüssel, etc.

---

## LRN-20260126-001: Cron-Jobs für proaktive Nachrichten

**Datum:** 2026-01-26
**Kategorie:** Cron / Messaging

### Lösung
Für Telegram/WhatsApp/etc. Zustellung bei Cron-Jobs:
- `--session isolated` (nicht main)
- `--message "..."` (nicht system-event)
- `--deliver --channel telegram --to <id>`