Skip to content

HiperTracker v0.1.5

Choose a tag to compare

@Drakonis96 Drakonis96 released this 07 Jun 17:43

Endurece el login propio de la app y protege el cascarón estático.

🛡️ Seguridad

  • Rate limiting por IP real (detrás de Cloudflare / NPM): el login se bloquea tras 10 intentos fallidos / 15 min (solo cuenta fallos, no penaliza accesos correctos) → respuesta 429. Tope general de la API como defensa frente a abuso.
  • Cabeceras de seguridad: X-Content-Type-Options, X-Frame-Options, Referrer-Policy.
  • JWT_SECRET: si no lo defines, se genera uno aleatorio fuerte y se persiste en data/.jwt-secret (nunca un secreto por defecto adivinable).
  • Comparación de credenciales en tiempo constante.

🚪 Cascarón estático protegido

Con el login activado, un navegador sin sesión ya no recibe el HTML/JS de la app: se sirve una página de login server-side autocontenida. Al autenticarte se fija una cookie httpOnly (SameSite=Lax, Secure en HTTPS) y se carga la app. La app nativa sigue usando la cabecera X-App-Auth (sin cambios de uso).

Si actualizas, los tokens previos se invalidan al generarse un nuevo JWT_SECRET (a menos que lo fijes tú): tendrás que volver a iniciar sesión una vez.

Instalación

  • iOS/iPadOS: fuente AltStore https://raw.githubusercontent.com/Drakonis96/hipertracker/main/altstore/source.json o el HiperTracker.ipa adjunto.
  • macOS: HiperTracker.dmg (clic derecho → Abrir).
  • Servidor (amd64): drakonis96/hipertracker:0.1.5.