Add AI workspace reviews
This commit is contained in:
@@ -0,0 +1,61 @@
|
||||
# ADR 0018 — WordPress-Plugin-Sicherheit
|
||||
|
||||
## Status
|
||||
Proposed
|
||||
|
||||
## Kurz erklärt
|
||||
Das WordPress-Plugin ist später ein API-Client.
|
||||
|
||||
Es läuft in einer WordPress-Umgebung, die möglicherweise durch andere Plugins, Themes oder schlechte Wartung gefährdet ist.
|
||||
|
||||
## Kontext
|
||||
WordPress soll nicht Core sein, aber später als Frontend-/Widget-Schicht dienen.
|
||||
|
||||
Das Architekturreview hat gewarnt, dass das Plugin eine zweite Sicherheitsdomäne erzeugt.
|
||||
|
||||
## Entscheidung
|
||||
Das WordPress-Plugin wird nicht Teil von V1.
|
||||
|
||||
Für spätere Versionen gilt:
|
||||
|
||||
- Plugin nutzt ausschließlich REST API
|
||||
- Plugin bekommt minimale API-Scopes
|
||||
- keine direkten Datenbankzugriffe
|
||||
- keine lokalen Kopien sensibler Daten, außer technisch zwingend nötig
|
||||
- Token-Rotation muss möglich sein
|
||||
- Plugin-Zugriffe werden auditierbar
|
||||
|
||||
## API-Scopes
|
||||
Das Plugin darf nur das, was für seine Widgets nötig ist.
|
||||
|
||||
Beispiele:
|
||||
|
||||
- Kundenbereich anzeigen
|
||||
- Ticket erstellen
|
||||
- Rechnungsreferenzen anzeigen
|
||||
- Vertragsdaten lesen
|
||||
|
||||
Nicht erlaubt:
|
||||
|
||||
- globale Adminfunktionen
|
||||
- Anbieter-Credentials lesen
|
||||
- fremde Mandantendaten lesen
|
||||
|
||||
## Bei kompromittierter WordPress-Seite
|
||||
Ein kompromittiertes Plugin-Token darf nicht das gesamte Backoffice gefährden.
|
||||
|
||||
Deshalb:
|
||||
|
||||
- Token widerrufbar
|
||||
- Scope begrenzt
|
||||
- Mandant begrenzt
|
||||
- Audit-Logs
|
||||
- Rate-Limits
|
||||
|
||||
## Status
|
||||
Diese ADR bleibt zunächst Proposed, weil das WordPress-Plugin erst nach V1 konkret geplant wird.
|
||||
|
||||
## Verwandte ADRs
|
||||
- ADR 0006 — Auth-Strategie
|
||||
- ADR 0012 — Frontend-Strategie
|
||||
- ADR 0020 — Customer-Portal-Scope
|
||||
Reference in New Issue
Block a user