56 lines
1.5 KiB
Markdown
56 lines
1.5 KiB
Markdown
# Learnings
|
|
|
|
## LRN-20260129-001: Browser-Snapshots leaken Passwort-Feld-Inhalte
|
|
|
|
**Datum:** 2026-01-29
|
|
**Kategorie:** Security / Browser Automation
|
|
**Schwere:** Hoch
|
|
|
|
### Problem
|
|
Browser-Snapshots (accessibility tree) lesen den tatsächlichen Wert von Passwort-Feldern aus, auch wenn sie visuell maskiert sind (●●●●). Der Klartext landet dann im Chat-Kontext.
|
|
|
|
### Beispiel
|
|
```
|
|
textbox "Passwort" [ref=e19]: geheimes_passwort
|
|
```
|
|
|
|
### Lösung
|
|
Bei Login-Flows mit Passwörtern:
|
|
1. **Kein Snapshot** nachdem das Passwort eingefügt wurde
|
|
2. Direkt auf Submit/Anmelden klicken
|
|
3. Erst nach erfolgreichem Login wieder Snapshot machen
|
|
|
|
### Workflow für sichere Logins
|
|
```
|
|
1. Snapshot (Login-Seite sehen)
|
|
2. Username eintippen
|
|
3. james-fill "entry-name" (PW ins Clipboard)
|
|
4. Ins Passwort-Feld klicken
|
|
5. Paste (Cmd+V)
|
|
6. KEIN SNAPSHOT!
|
|
7. Direkt Submit klicken
|
|
8. Snapshot (eingeloggte Seite)
|
|
```
|
|
|
|
### WICHTIG: Niemals Passwörter im Chat wiedergeben!
|
|
Auch wenn ein Passwort versehentlich im Kontext landet:
|
|
- **NIEMALS** im Chat zitieren oder wiederholen
|
|
- Nicht in Erklärungen einbauen
|
|
- Nicht als Beispiel verwenden
|
|
- Einfach ignorieren und weitermachen
|
|
|
|
Das gilt auch für: API-Keys, Tokens, private Schlüssel, etc.
|
|
|
|
---
|
|
|
|
## LRN-20260126-001: Cron-Jobs für proaktive Nachrichten
|
|
|
|
**Datum:** 2026-01-26
|
|
**Kategorie:** Cron / Messaging
|
|
|
|
### Lösung
|
|
Für Telegram/WhatsApp/etc. Zustellung bei Cron-Jobs:
|
|
- `--session isolated` (nicht main)
|
|
- `--message "..."` (nicht system-event)
|
|
- `--deliver --channel telegram --to <id>`
|