Mapspoto
Menü
Download AGB Datenschutz Impressum Kinderschutz Konto löschen

Sicherheitspraktiken (Anhang)

Zuletzt aktualisiert: 2026-06-04

Architekturüberblick

MapSpoto verwendet Expo / React Native im Frontend und Supabase für Authentifizierung, Datenbank, Storage und Realtime-Funktionen im Backend.

Der Stack selbst ist keine Sicherheitsgarantie, aber er stellt ausgereifte Bausteine für Authentifizierung, Berechtigungen und Datenbankkontrollen bereit, die wir für strengere Zugriffsregeln nutzen können.

Datenbank-Zugriffskontrolle

MapSpoto nutzt PostgreSQL Row Level Security (RLS), um den Datenzugriff einzuschränken.

Das bedeutet, dass normale Clients nur Daten lesen können, für die sie berechtigt sind. Nicht öffentliche Daten anderer Nutzer sind über die normalen App-Schnittstellen nicht zugänglich.

Wir veröffentlichen keine langen SQL-Richtlinien direkt auf der Website, prüfen und verschärfen die Datenbankregeln aber laufend.

Konto- und Passwortsicherheit

Das Kontosystem basiert auf Supabase Auth.

Entwickler können Ihr Klartext-Passwort nicht sehen. Speicherung und Prüfung von Passwörtern übernimmt das Authentifizierungssystem.

Umgang mit Frontend-Schlüsseln

Das App-Frontend verwendet nur einen eingeschränkten anonymen Zugriffsschlüssel (Anon Key), um sich mit dem Backend zu verbinden.

Hochprivilegierte Service-Schlüssel werden nicht in den Frontend-Code eingebettet und nicht mit der App ausgeliefert.

Sicherheitsprüfungen

Wir nutzen Drittanbieter-Tools und Plattformfunktionen, um häufige Sicherheitsprobleme zu prüfen, zum Beispiel:

  • Supabase Security Advisor zur Prüfung von Datenbank-, RLS- und Storage-Zugriffseinstellungen.
  • Abhängigkeitsscans, um bekannte Probleme in Drittanbieter-Paketen zu erkennen.
  • Code-Scanner, um typische Sicherheitsfehler und Fehlkonfigurationen zu finden.
  • Secret-Scanning, um sicherzustellen, dass keine hochprivilegierten Schlüssel oder sensiblen Umgebungsvariablen versehentlich committet wurden.

Letzte Prüfung der Abhängigkeitssicherheit (4. Juni 2026, Version 1.4.0)

Wir haben die Sicherheitsprüfung der Frontend-Abhängigkeiten erneut ausgeführt und bestätigt, dass die zuvor bearbeiteten Abhängigkeitsbefunde nicht erneut auftreten.

Das aktuelle Ergebnis lautet: Critical 0 / High 0 / Moderate 0 / Low 0.

Der aktuelle Yarn-Audit-Bericht zeigt keine Abhängigkeits-Schwachstellen in 1369 Abhängigkeiten.

Wir prüfen Risiken in Drittanbieter-Paketen weiterhin bei Abhängigkeitsupdates und vor Veröffentlichungen und stellen den Rohbericht zur Kontrolle bereit.

Prüfwerkzeug: Yarn Audit. Der Rohbericht kann heruntergeladen werden.

Rohbericht von Yarn Audit herunterladen (JSON)

Letztes Ergebnis des Secret-Scannings (4. Juni 2026, Version 1.4.0)

Zusätzlich haben wir mit gitleaks die aktuell versionskontrollierten Quelldateien auf versehentlich committete Secrets geprüft.

Das aktuelle Ergebnis lautet: 0 findings.

Die erneute Prüfung bestätigte keine Secret-Funde in den aktuell von Git verfolgten Quelldateien. Git-Historie, lokale Umgebungsdateien, Runtime-Konfigurationsdateien und lokal erzeugte Build-Dateien waren nicht enthalten.

Prüfwerkzeug: gitleaks. Der Rohbericht kann heruntergeladen werden.

Rohbericht von gitleaks herunterladen (JSON)

Letzter Code-Sicherheitsscan (4. Juni 2026, Version 1.4.0)

Zusätzlich haben wir mit Semgrep einen statischen Sicherheitsscan auf den aktuell versionskontrollierten Frontend-Quelldateien durchgeführt.

Das aktuelle Ergebnis lautet: 0 findings.

Diese erneute Prüfung umfasste 573 frontendbezogene Ziele. Im aktuellen Ergebnis gibt es keine Sicherheitsbefunde, Scan-Fehler oder Parsing-Warnungen.

Prüfwerkzeug: Semgrep. Der Rohbericht kann heruntergeladen werden.

Rohbericht von Semgrep herunterladen (JSON)

Letzte mobile Sicherheitsprüfung (4. Juni 2026, Version 1.4.0)

Wir haben mit MobSF eine statische Sicherheitsanalyse der iOS- und Android-Pakete von MapSpoto durchgeführt.

Das iOS-Ergebnis lautet: 64/100 (Low Risk), ohne High-Risk-Befunde. App Transport Security ist mit NSAllowsArbitraryLoads=false konfiguriert.

Bei der iOS-Prüfung haben wir bestätigt, dass Debug-Symbole in hermes.framework/hermes im Release-Paket entfernt wurden; es verbleiben 0 SO-Symbole. MobSF meldet weiterhin allgemeine Binärhinweise wie SYMBOLS STRIPPED, ENCRYPTED, RPATH und die Verwendung üblicher C-APIs. Der lokale IPA-Hinweis ENCRYPTED=false ist vor der App-Store-Verteilung erwartbar und bedeutet nicht, dass das über den App Store verteilte Paket nicht durch Apple-Verschlüsselung geschützt ist.

Das Android-Ergebnis lautet: 55/100 (Medium Risk). MobSF meldete einen High-Risk-Hinweis: Remote WebView debugging is enabled.

Der Android-Hinweis zu WebView-Debugging wurde manuell geprüft. Nach der Dekompilierung des Release-APKs zeigt die Drittanbieter-Bibliothek react-native-webview, dass WebView.setWebContentsDebuggingEnabled(true) standardmäßig nur aufgerufen wird, wenn ReactBuildConfig.DEBUG true ist. Das geprüfte Paket ist ein Release-Build, und der Turnstile-WebView für Login-Sicherheitsprüfungen setzt ausdrücklich webviewDebuggingEnabled={false}. Daher ist Remote-Debugging für WebViews in der Produktionsversion nicht standardmäßig aktiviert. Wir dokumentieren diesen Punkt als statischen Regel-/Bedingungshinweis und nicht als tatsächliche High-Risk-Schwachstelle in Produktion.

Die Android-Hinweise mit Medium Risk bzw. Warning umfassen außerdem Drittanbieter-SDK-Komponenten und statische Regel-Treffer, etwa exportierte Komponenten, externen Speicher, temporäre Dateien, AsyncStorage/SQLite, Logging, schwache Hashes, Zufallszahlenerzeugung und Sentry-Crash-Reporting. Nicht erforderliche exportierte Komponenten deaktivieren wir, wo möglich. expo.modules.clipboard.ClipboardFileProvider ist jedoch ein erforderlicher schreibgeschützter Provider von Expo Clipboard und muss android:exported=true behalten; eine erzwungene Änderung auf false führt zu Android-Startabstürzen. Wir dokumentieren dies als akzeptierte Anforderung eines Drittanbieter-SDKs und begrenzen die Angriffsfläche über eingeschränkte Provider-Pfade.

Prüfwerkzeug: MobSF. Die Rohberichte können heruntergeladen werden.

iOS-MobSF-Bericht herunterladen (PDF)

Android-MobSF-Bericht herunterladen (PDF)

Aktuelle Verbesserungsfelder

  • Öffentliche Profilfelder weiter einschränken, um unnötige Offenlegung persönlicher Informationen zu reduzieren.
  • Zu breite öffentliche Storage-Zugriffe entfernen, damit ganze Buckets nicht öffentlich aufgelistet werden können.
  • Regeln zur Profilvollständigkeit vereinfachen, damit Kontaktdaten und ähnliche sensible Felder nicht als notwendige Profilsignale behandelt werden.

Umfang und Grenzen

Wir verbessern Sicherheitskonfigurationen und Produktlogik laufend, behaupten aber nicht, dass die App „absolut sicher“ ist.

Sicherheit ist ein fortlaufender Prozess. Wenn wir neue Probleme finden, werden wir sie weiter beheben und Regeln nachschärfen.

Zurück zur Datenschutzerklärung
Kanonische URL: https://www.mapspoto.com/security-practices/de/