Direkt zum Hauptinhalt

Sicherheits-Audit 2026-05-03

Sicherheits-Audit Mai 2026

Am 3. Mai 2026 haben wir Wissenswiesel.de einem strukturierten Sicherheits-Audit unterzogen. Geprüfte Bereiche:

  • Login-, 2FA- und Passwort-Reset-Mechanismen
  • RBAC (Rollen-Trennung Lehrkraft/Schüler/Admin)
  • SQL-Injection / XSS / CSRF / Path-Traversal
  • Schüler-Zugang per Code (Brute-Force-Schutz)
  • Cookie-Settings (Secure, HttpOnly, SameSite)
  • DSGVO-Datenexport und Konto-Löschung

Ergebnis

Alle gefundenen Verbesserungspunkte wurden noch am selben Tag behoben:

  • Rate-Limiting auf 4 Endpunkten (Login-2FA, Passwort-vergessen, Passwort-zurücksetzen, Schüler-Code) ergänzt
  • Veraltete OAuth-Callback-Datei entfernt
  • Defense-in-Depth-Verbesserungen dokumentiert für nächste Iteration

Was bedeutet das für dich

Sichtbar im Alltag: bei wiederholten Fehlversuchen kommt jetzt eine Sperre für ein paar Minuten — siehe „Was tun bei „Zu viele Versuche"". Alle deine Daten bleiben verschlüsselt und unter deutscher DSGVO-Aufsicht.

nach oben