HiperTracker v0.1.5
Endurece el login propio de la app y protege el cascarón estático.
🛡️ Seguridad
- Rate limiting por IP real (detrás de Cloudflare / NPM): el login se bloquea tras 10 intentos fallidos / 15 min (solo cuenta fallos, no penaliza accesos correctos) → respuesta
429. Tope general de la API como defensa frente a abuso. - Cabeceras de seguridad:
X-Content-Type-Options,X-Frame-Options,Referrer-Policy. - JWT_SECRET: si no lo defines, se genera uno aleatorio fuerte y se persiste en
data/.jwt-secret(nunca un secreto por defecto adivinable). - Comparación de credenciales en tiempo constante.
🚪 Cascarón estático protegido
Con el login activado, un navegador sin sesión ya no recibe el HTML/JS de la app: se sirve una página de login server-side autocontenida. Al autenticarte se fija una cookie httpOnly (SameSite=Lax, Secure en HTTPS) y se carga la app. La app nativa sigue usando la cabecera X-App-Auth (sin cambios de uso).
Si actualizas, los tokens previos se invalidan al generarse un nuevo
JWT_SECRET(a menos que lo fijes tú): tendrás que volver a iniciar sesión una vez.
Instalación
- iOS/iPadOS: fuente AltStore
https://raw.githubusercontent.com/Drakonis96/hipertracker/main/altstore/source.jsono elHiperTracker.ipaadjunto. - macOS:
HiperTracker.dmg(clic derecho → Abrir). - Servidor (amd64):
drakonis96/hipertracker:0.1.5.