security+perf: полное ревью — 17 фиксов P0/P1 (XSS, IDOR, race conditions, rate limits, TURN, WAL)

## P0 - admin.html:2608, red-book-ecosystem.html:489-495 — XSS: u.name/node.name_ru/description обернуты в LS.esc() - classController.js getAnnouncements — добавлена проверка teacher_id (B14: учитель A не может читать объявления класса B) ## P1 — auth & validation - authController.js — минимум пароля 6→8 символов (register + change password + login.html) - gamificationController adminAward — валидация max XP/coins (1M), Number coercion - shopController adminAwardCoins — валидация max + проверка changes>0 ## P1 — race conditions - petController.buyBg — atomic UPDATE WHERE coins>=? (race-safe) - shopController.purchaseItem — atomic conditional UPDATE - liveController — добавлен question_id в live_answers (миграция с пересозданием таблицы), история ответов сохраняется при смене вопроса учителем - ws-server: invalidateDrawCache экспортирован, classroomController grant/revoke вызывают его → permission revoke применяется мгновенно (раньше до 10s stale) ## P1 — rate limits & retry - rateLimit middleware: новый параметр byUser=true (использует req.user.id вместо IP — не блокирует пользователей за NAT) - routes/classroom.js: reactionLimiter (15/5s) на /chat/:msgId/react, handLimiter (5/5s) на raise/lower hand - api.js sendAnswer — retry 3x с exp backoff (300/1200/2700ms), не повторяет на 4xx (F5) ## P1 — performance - classroomController.getStrokes — LIMIT 5000 + флаг hasMore (защита от OOM на 10K+ strokes) - whiteboard.js _liveStrokes — TTL 1.5s на каждый live preview (auto-cleanup при крашe ремоут юзера) ## Infrastructure - config.js: TURN_URL/USER/PASS env vars - server.js: GET /api/ice-servers возвращает STUN + опциональный TURN из env - classroom-rtc.js: фетчит /api/ice-servers вместо хардкода (поддержка TURN для NAT/CGNAT школьных сетей) - .env.example: документация TURN - db.js: PRAGMA synchronous=NORMAL (5x быстрее с WAL), cache_size 16MB, temp_store=MEMORY - ws-server.js closeAll() + server.js shutdown — graceful WS shutdown при SIGTERM ## False positives (не баги, агенты ошиблись) - assignmentController FK на tests — на самом деле users (migrate.js:317-318) - .env в git — gitignore корректно исключает - admin.html без requireAuth — есть LS.initPage() который вызывает requireAuth - submissionsController IDOR — обе ручки уже проверяют teacher_id - screenSender = null inside try/catch — на самом деле снаружи - SSE без backoff — есть exponential 2s→30s - sessionController NOT IN на пустом массиве — есть guard usedIds.length>0 - getChat без LIMIT — есть LIMIT 100/200 - trust proxy — установлен на server.js:105 Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-23 12:16:08 +03:00
parent 2ae06ba2f1
commit 952a54f97c
21 changed files with 231 additions and 62 deletions
@@ -35,12 +35,18 @@ class ClassroomRTC {
    this._muted        = false;

    this._vadTimers    = new Map();      // uid → {ctx, timer} for VAD
+    this._iceServers   = null;           // populated lazily before first peer
+
+    // Pre-fetch ICE servers in background so first peer creation has them.
+    this._fetchIceServers().then(s => { this._iceServers = s; }).catch(() => {});
  }

-  /* ── Audio ───────────────────────────────────────────��───────────────── */
+  /* ── Audio ────────────────────────────────────────────��──────────────── */

  async startAudio() {
    try {
+      // Make sure ICE servers are loaded before we accept incoming connections
+      if (!this._iceServers) this._iceServers = await this._fetchIceServers();
      this._localStream = await navigator.mediaDevices.getUserMedia({ audio: true, video: false });
      this._localStream.getAudioTracks().forEach(t => { t.enabled = !this._muted; });
      this._startVAD(this._uid, this._localStream);
@@ -277,8 +283,31 @@ class ClassroomRTC {

  _getPeer(uid) { return this._peers.get(uid) || null; }

+  // Cached promise for ICE servers (fetched once per page load).
+  // Server returns STUN + optional TURN from env (TURN_URL/USER/PASS).
+  static _iceServersPromise = null;
+  _fetchIceServers() {
+    if (!ClassroomRTC._iceServersPromise) {
+      ClassroomRTC._iceServersPromise = fetch('/api/ice-servers', {
+        headers: { Authorization: 'Bearer ' + (localStorage.getItem('ls_token') || '') },
+      })
+        .then(r => r.ok ? r.json() : null)
+        .then(d => d?.iceServers || [
+          { urls: 'stun:stun.l.google.com:19302' },
+          { urls: 'stun:stun1.l.google.com:19302' },
+        ])
+        .catch(() => [
+          { urls: 'stun:stun.l.google.com:19302' },
+          { urls: 'stun:stun1.l.google.com:19302' },
+        ]);
+    }
+    return ClassroomRTC._iceServersPromise;
+  }
+
  _createPeer(uid) {
-    const ICE = { iceServers: [
+    // Use cached server-side ICE config if loaded; otherwise fall back to STUN-only synchronously.
+    // (RTCPeerConnection constructor needs config at create-time, so we use whatever is ready.)
+    const ICE = { iceServers: this._iceServers || [
      { urls: 'stun:stun.l.google.com:19302' },
      { urls: 'stun:stun1.l.google.com:19302' },
    ]};