- Single-Flight-Refresh: parallele 401-Calls bei App-Start triggern nur EINEN Refresh statt N
- X-Device-Id beim Refresh-Endpoint immer mitgeschickt — Auto-Revoke alter Sessions matched zuverlässig
- Public Status-Page unter /status (live Server-Health, Backups, Stats)
- Admin-Dashboard auf berglog.app/admin/stats (für Mathias)
Changelog
Was sich getan hat
Was zuletzt bei BergLog passiert ist. Beta-Builds laufen über TestFlight, Public-Releases später über den App Store.
- Silent-Apple-Re-Auth: bei Token-Expire automatischer FaceID-Prompt statt stillem Logout
- Refresh-Token-Lifetime von 30 auf 90 Tage erhöht
- Doppel-Tap-Schutz auf Apple-Sign-in-Button (Loading-Spinner)
- Reentry-Guard im AppleAuthService — keine parallelen Sessions mehr
- Banner „Session abgelaufen" statt aggressivem Token-Wipe
- Anonymisierungs-Funktion für Public-Einträge (DSGVO Art. 17 alternative)
- Privacy-Zonen-Enforcement (Heimadresse + LPD-Schutz)
- Active-Consent-Sheet beim Apple-Sign-in (DSGVO Art. 6 Abs. 1 lit. a)
- Tourenbuch-iCloud-Backup für Beta freigeschaltet (Privacy-Feature)
- Activity-Filter: Picker-Menu statt Chips
- Klarname-Architektur: Profil voll, Public-Endpoints kürzen automatisch auf "Max M."
- Reinstall-Keychain-Wipe — saubere Trennung zwischen App-Reinstalls
- Sessions-Auto-Revoke beim Apple-Sign-in (Anti-Zombie-Sessions)
- POST /auth/logout für sauberen Server-side Sign-Out
- Sicherheits-Audit (9.7/10) + 92 Pen-Tests grün, 15 Bugs gefixt
- App-Attest Hardware-Attestation in monitor-Mode
- Anomaly-Detector + Audit-Log
- Trust-Score-Gate für Newcomer-Posts
- Sign in mit Apple End-to-End
- OSM-Peak-Import für Vorarlberg (~2.500 Peaks)
- Public Web-Gipfelbuch unter berglog.app/peak/<slug>
- Privacy-Zonen-Store
- Foto-Upload-Pipeline mit MinIO
Bug gefunden, Idee, Wunsch? berglog@xiit.at