Security-Feed-Credentials

Preflight für produktive Malware- und Blacklist-Feeds

anrufer.info: Credential-Preflight blockiert; 4/6 Check(s) offen, 3 Pflicht-Secret(s) fehlen.

Credential-Preflight zeigt keine Secret-Werte, ruft im Standard keine externen Feeds auf und ersetzt keine menschliche Betreiberfreigabe.

JSON CSV Markdown Env Template Launch-Board Freigabeakte

blockedStatus 0/6Refs gesetzt 3Pflicht fehlt neinFeed-Run neinSignatur neinStorage 0Runner-Fehler not_requestedLive-Probe

Activation-Paket

Env-Template, Smoke-Matrix und Abnahme fuer Feed-Go-live

Dieses Paket exportiert nur Env-Referenzen, Placeholder, Smoke-Kommandos und Abnahmekriterien; keine echten Feed-Keys, Tokens, URLs, Rohpayloads oder personenbezogenen Logs.

Env Template Runbook

Env-Datei/etc/saferpage/security-feed.env Feed-Callsnein Storagenein Smokes5

SAFERPAGE_URLHAUS_AUTH_KEY Pflicht fuer Go-live

URLhaus Host API Credential fuer Malware-/Phishing-Hostabfragen.

Beispielwert: __SET_IN_SECRET_MANAGER_OR_SECURE_SERVER_ENV__

SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY Pflicht fuer Go-live

Google Safe Browsing API Key fuer Threat-Matches.

Beispielwert: __SET_IN_SECRET_MANAGER_OR_SECURE_SERVER_ENV__

SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED Pflicht fuer Go-live

Speicherung echter Feed-Observations erst nach Retention-, Review- und Datenschutzfreigabe.

Beispielwert: no

SAFERPAGE_SECURITY_FEED_PREFLIGHT_APPROVED Guard/Option

Kurzlebiges Guard-Flag fuer explizit angeforderte externe Einzelprobe.

Beispielwert: no

SAFERPAGE_WEBHOOK_SECRET Guard/Option

HMAC-Secret fuer signierte Betreiber-Webhook-Delivery.

Beispielwert: __SET_IN_SECRET_MANAGER_OR_SECURE_SERVER_ENV__

SAFERPAGE_OPERATOR_WEBHOOK_SECRET Guard/Option

Alternatives HMAC-Secret fuer Operator-Workflows.

Beispielwert: __SET_IN_SECRET_MANAGER_OR_SECURE_SERVER_ENV__

dry_run_no_external_feed

scripts/run-security-feed-dry-run-smoke.sh

executed_count=0 und stored_observation_count=0.

storage_preflight

scripts/run-security-feed-storage-preflight.sh

missing_required_artifacts ist leer, bevor Storage-Approval gesetzt wird.

storage_canary

SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED=yes python3 scripts/run-security-feed-schedule.py anrufer.info --base-url http://127.0.0.1 --max 1 --timeout 15 --storage-canary

Genau eine synthetische private Canary-Observation; keine externen Feed-Abfragen.

guarded_live_probe

SAFERPAGE_SECURITY_FEED_PREFLIGHT_APPROVED=yes curl -fsS "https://saferpage.de/sicherheit/anrufer.info/feed-live-json?run=yes"

Einzelprobe nur explizit, ohne Secret-Ausgabe und ohne automatische Speicherung.

launch_board

curl -fsS https://saferpage.de/sicherheit/feed-launch-board-json

blocked_gate_count=0 erst nach Credentials, Storage, Delivery und Runner-Gates.

Secret-Referenzen

Was auf dem Server gesetzt sein muss

Feed-Secrets

URLhaus Host API SAFERPAGE_URLHAUS_AUTH_KEY · missing · IT/Security

Malware-/Phishing-Hostabfrage gegen externen Feed.

SAFERPAGE_URLHAUS_AUTH_KEY serverseitig setzen, PHP-FPM/Worker neu laden und Preflight erneut prüfen.

Pflicht: ja
Rotation: 90 Tage

Google Safe Browsing API SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY · missing · IT/Security

Safe-Browsing-Threat-Matches fuer Host/URL-Pruefung.

SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY serverseitig setzen, PHP-FPM/Worker neu laden und Preflight erneut prüfen.

Pflicht: ja
Rotation: 90 Tage

Webhook-HMAC fuer Delivery SAFERPAGE_WEBHOOK_SECRET · optional_missing · IT/Security

Signierte Alert- und Feed-Delivery an Betreiberzielsysteme.

SAFERPAGE_WEBHOOK_SECRET serverseitig setzen, PHP-FPM/Worker neu laden und Preflight erneut prüfen.

Pflicht: optional
Rotation: 180 Tage

Operator-HMAC fuer Delivery SAFERPAGE_OPERATOR_WEBHOOK_SECRET · optional_missing · IT/Security

Alternative Signatur fuer Betreiber-Webhook und Operator-Workflows.

SAFERPAGE_OPERATOR_WEBHOOK_SECRET serverseitig setzen, PHP-FPM/Worker neu laden und Preflight erneut prüfen.

Pflicht: optional
Rotation: 180 Tage

Alert-Dispatch-Freigabe SAFERPAGE_ALERT_DISPATCH_APPROVED · optional_missing · Programm-Owner

Schreibende Alert-Zustellung erst nach Betreiberfreigabe aktivieren.

SAFERPAGE_ALERT_DISPATCH_APPROVED=yes erst nach dokumentierter Betreiberfreigabe setzen.

Pflicht: optional
Rotation: 180 Tage

Storage-Freigabe SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED · missing · Betreiber/Datenschutz

Speicherung echter Feed-Observations erst nach Retention-/Review-Freigabe.

SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED=yes erst nach dokumentierter Betreiberfreigabe setzen.

Pflicht: ja
Rotation: 180 Tage

Checks

Blocker vor dem echten Feed-Lauf

Runbook

Keine Secret-Werte im Export passed · Security/Platform

Preflight zeigt nur env_ref, present/status, Owner, Zweck und Aktion.

Keine Secret-Werte in Tickets, URLs, Logs, Screenshots oder Public-Exports übernehmen.

Produktive Feed-Credentials blocked · IT/Security

Mindestens eine Feed-Credential-Referenz fehlt.

SAFERPAGE_URLHAUS_AUTH_KEY und SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY serverseitig setzen.

Signierte Betreiber-Zustellung blocked · IT/Security

SAFERPAGE_WEBHOOK_SECRET oder SAFERPAGE_OPERATOR_WEBHOOK_SECRET fehlt.

Ein Delivery-HMAC setzen oder Zielsystem bewusst als nicht im Scope dokumentieren.

Storage-Freigabe blocked · Betreiber/Datenschutz

Speicherung echter Feed-Observations ist nicht freigegeben.

Retention, Review-Workflow, Publish-Regeln und Loeschpfad freigeben; erst danach Storage-Approval setzen.

Runner-State abrufbar passed · Webbetrieb

Security-Feed-Runner: 50 Domain(s) geprüft, 0 aktivierungsbereit, 0 externe Feed-Run(s), 0 Observation(s) gespeichert, 37 durch Gates blockiert, 13 ohne Reportseite, 0 technische Fehler.

Timer und letzten Lauf weiter ueberwachen.

Gesamte Aktivierung blocked · Programm-Owner

anrufer.info: Security-Feed-Aktivierung mit 5 Gate(s), 4 blockiert, Delivery ohne Secret.

Blockierte Gates aus Activation, Launch-Board und Dossier schließen.

Live-Probe

Externe Feed-Abfrage bleibt zusätzlich geschützt

Standard-Preflight aggregiert nur vorhandene Evidence-Pakete und verbraucht keine externen Feed-Quoten.

Feed-Live-Gate

Schritt

Secrets in /etc/saferpage/security-feed.env oder Secret Manager setzen; keine Werte in Git, Tickets oder URLs ablegen.

Schritt

PHP-FPM/API, Screenshot-/Feed-Worker und systemd Units neu laden.

Schritt

Credential-Preflight und feed-secrets-json prüfen, bis nur bewusst optionale Referenzen fehlen.

Schritt

Optionalen Einzeltest erst mit SAFERPAGE_SECURITY_FEED_PREFLIGHT_APPROVED=yes und ?run=yes ausfuehren.

Schritt

Storage-Freigabe nach Retention-/Review-Entscheidung setzen und Launch-Board erneut pruefen.

Schritt

Alert-Dispatch-Zielsysteme mit signiertem Dry-Run testen, bevor echte Zustellung aktiviert wird.

Nachweise

Öffentliche Evidence-Links für Betreiber

Launch-Board Dossier Alert-Dispatch Schema