Maxim Dolgolyov
952a54f97c
## P0 - admin.html:2608, red-book-ecosystem.html:489-495 — XSS: u.name/node.name_ru/description обернуты в LS.esc() - classController.js getAnnouncements — добавлена проверка teacher_id (B14: учитель A не может читать объявления класса B) ## P1 — auth & validation - authController.js — минимум пароля 6→8 символов (register + change password + login.html) - gamificationController adminAward — валидация max XP/coins (1M), Number coercion - shopController adminAwardCoins — валидация max + проверка changes>0 ## P1 — race conditions - petController.buyBg — atomic UPDATE WHERE coins>=? (race-safe) - shopController.purchaseItem — atomic conditional UPDATE - liveController — добавлен question_id в live_answers (миграция с пересозданием таблицы), история ответов сохраняется при смене вопроса учителем - ws-server: invalidateDrawCache экспортирован, classroomController grant/revoke вызывают его → permission revoke применяется мгновенно (раньше до 10s stale) ## P1 — rate limits & retry - rateLimit middleware: новый параметр byUser=true (использует req.user.id вместо IP — не блокирует пользователей за NAT) - routes/classroom.js: reactionLimiter (15/5s) на /chat/:msgId/react, handLimiter (5/5s) на raise/lower hand - api.js sendAnswer — retry 3x с exp backoff (300/1200/2700ms), не повторяет на 4xx (F5) ## P1 — performance - classroomController.getStrokes — LIMIT 5000 + флаг hasMore (защита от OOM на 10K+ strokes) - whiteboard.js _liveStrokes — TTL 1.5s на каждый live preview (auto-cleanup при крашe ремоут юзера) ## Infrastructure - config.js: TURN_URL/USER/PASS env vars - server.js: GET /api/ice-servers возвращает STUN + опциональный TURN из env - classroom-rtc.js: фетчит /api/ice-servers вместо хардкода (поддержка TURN для NAT/CGNAT школьных сетей) - .env.example: документация TURN - db.js: PRAGMA synchronous=NORMAL (5x быстрее с WAL), cache_size 16MB, temp_store=MEMORY - ws-server.js closeAll() + server.js shutdown — graceful WS shutdown при SIGTERM ## False positives (не баги, агенты ошиблись) - assignmentController FK на tests — на самом деле users (migrate.js:317-318) - .env в git — gitignore корректно исключает - admin.html без requireAuth — есть LS.initPage() который вызывает requireAuth - submissionsController IDOR — обе ручки уже проверяют teacher_id - screenSender = null inside try/catch — на самом деле снаружи - SSE без backoff — есть exponential 2s→30s - sessionController NOT IN на пустом массиве — есть guard usedIds.length>0 - getChat без LIMIT — есть LIMIT 100/200 - trust proxy — установлен на server.js:105 Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
70 lines
3.2 KiB
JavaScript
70 lines
3.2 KiB
JavaScript
'use strict';
|
|
|
|
/* ── Environment configuration & startup validation ───────────────────────
|
|
Require this module BEFORE anything else that reads process.env.
|
|
Fails fast with a clear message if required vars are missing or weak.
|
|
──────────────────────────────────────────────────────────────────────── */
|
|
|
|
require('dotenv').config({ path: require('path').join(__dirname, '../.env') });
|
|
|
|
const path = require('path');
|
|
const errors = [];
|
|
|
|
function _require(key, { minLen, notValue } = {}) {
|
|
const val = process.env[key];
|
|
if (!val) { errors.push(`${key} is required`); return undefined; }
|
|
if (minLen && val.length < minLen) errors.push(`${key} must be at least ${minLen} chars (got ${val.length})`);
|
|
if (notValue && val === notValue) errors.push(`${key} must not be the default placeholder value`);
|
|
return val;
|
|
}
|
|
|
|
function _optional(key, defaultVal = undefined) {
|
|
return process.env[key] || defaultVal;
|
|
}
|
|
|
|
/* ── Required vars ────────────────────────────────────────────────────── */
|
|
const JWT_SECRET = _require('JWT_SECRET', {
|
|
minLen: 32,
|
|
notValue: 'change_this_to_a_long_random_string',
|
|
});
|
|
|
|
/* ── Optional vars with defaults ─────────────────────────────────────── */
|
|
const NODE_ENV = _optional('NODE_ENV', 'development');
|
|
if (!['development', 'production', 'test'].includes(NODE_ENV)) {
|
|
errors.push(`NODE_ENV must be development | production | test (got: "${NODE_ENV}")`);
|
|
}
|
|
|
|
const PORT_RAW = _optional('PORT', '3000');
|
|
const PORT = Number(PORT_RAW);
|
|
if (!Number.isInteger(PORT) || PORT < 1 || PORT > 65535) {
|
|
errors.push(`PORT must be an integer between 1 and 65535 (got: "${PORT_RAW}")`);
|
|
}
|
|
|
|
/* ── Fail fast ───────────────────────────────────────────────────────── */
|
|
if (errors.length) {
|
|
process.stderr.write('\n[config] FATAL: invalid environment configuration:\n');
|
|
errors.forEach(e => process.stderr.write(` ✗ ${e}\n`));
|
|
process.stderr.write('\nFix these issues in your .env file and restart.\n\n');
|
|
process.exit(1);
|
|
}
|
|
|
|
module.exports = Object.freeze({
|
|
/* env */
|
|
JWT_SECRET,
|
|
PORT,
|
|
NODE_ENV,
|
|
isProd: NODE_ENV === 'production',
|
|
LOG_LEVEL: _optional('LOG_LEVEL', NODE_ENV === 'production' ? 'info' : 'debug'),
|
|
CLIENT_ORIGIN: _optional('CLIENT_ORIGIN'),
|
|
/* paths */
|
|
DB_PATH: _optional('DB_PATH', path.join(__dirname, '../data/learnspace.db')),
|
|
UPLOADS_DIR: _optional('UPLOADS_DIR', path.join(__dirname, '../uploads')),
|
|
/* WebRTC ICE servers — TURN required for clients behind symmetric NAT/CGNAT (school networks) */
|
|
TURN_URL: _optional('TURN_URL'), // e.g. turn:turn.example.com:3478
|
|
TURN_USER: _optional('TURN_USER'),
|
|
TURN_PASS: _optional('TURN_PASS'),
|
|
/* constants */
|
|
BCRYPT_ROUNDS: 12,
|
|
MAX_FILE_SIZE: 50 * 1024 * 1024,
|
|
});
|