1. Technische Dokumentation: Sicherheits- & Systemarchitektur

Echte Client-Side Encryption (WebCrypto): Vollständige Ende-zu-Ende-Verschlüsselung mittels AES-GCM (256-bit) direkt im Browser. Der Server fungiert lediglich als persistenter Speicher für verschlüsselte Blobs; Klartextdaten oder Passwörter verlassen niemals den Client.
Dynamische Schlüsselhärtung (PBKDF2): Passwörter werden lokal mittels PBKDF2 gehärtet.
- Variabler Workfactor: Einstellbar von 200.000 bis 2.000.000 Iterationen via Admin-Slider.
- Individueller Random-Offset: Jede Seite erhält beim Speichern einen zusätzlichen zufälligen Offset (0 bis 99.999 Iterationen). Dies individualisiert den kryptografischen Fingerabdruck jeder Datei und erschwert den Einsatz von vorberechneten Rainbow-Tables massiv.
Zero-Knowledge RAM-Speicherung: Optionale, zeitlich begrenzte Vorhaltung des abgeleiteten Schlüssels im sessionStorage. Ein dedizierter Timer überwacht die Gültigkeit; beim Schließen des Tabs oder nach Ablauf der Zeitspanne wird der Schlüssel unwiderruflich aus dem Speicher gelöscht.

Intelligentes Session-Management: Nutzung von Secure-Cookies mit Strict SameSite-Policy. Zur Abwehr von Session-Fixation erfolgt eine automatische ID-Regeneration bei jedem Login. Ein integrierter JavaScript-Timer synchronisiert die Sitzungsdauer aktiv mit dem Server (Sliding Expiration).
Multi-Faktor-Authentifizierung (2FA) mit Fallback-Logik: Die Kontosicherheit wird durch ein hybrides 2FA-System (RFC 6238 konform) gewährleistet:
- TOTP-Primärweg: Standardmäßige Nutzung von Authenticator-Apps für eine schnelle, offline-fähige Verifizierung.
- On-Demand E-Mail-Fallback: Sind sowohl App als auch E-Mail hinterlegt, wird der Versand des E-Mail-Codes (via PHPMailer) anfänglich blockiert. Er kann bei Bedarf (z. B. fehlendes Smartphone) manuell durch den Nutzer in der Anmeldemaske getriggert werden.
- Sicherheits-Timer: Das 5-minütige Gültigkeitsfenster des Codes wird bei einem manuellen E-Mail-Versand dynamisch zurückgesetzt, um ein Ablaufen des Codes während der Zustellung zu verhindern.
Brute-Force-Prävention: Ein abgestufter Login-Delay (Time-Attack-Schutz) von bis zu 15 Minuten blockiert automatisierte Anmeldeversuche effektiv auf IP-Basis.
Dummy-Hash-Validierung: Um Enumerations-Angriffe (Unterscheidung zwischen existierenden und fiktiven Usern) zu verhindern, berechnet das System bei unbekannten Benutzern kryptografisch starke Fake-Hashes, sodass die Antwortzeit (Timing) identisch bleibt.

Integrierter XSS-Schutz (HTML Purifier): Einsatz der Industriestandard-Bibliothek HTML Purifier. Alle eingehenden Inhalte werden gegen eine strikte Whitelist gefiltert. Bösartiger Code wird eliminiert, bevor er verarbeitet oder gespeichert wird.
Sicherheits-Härtung (Header & File Access): Globales Setzen strenger Security-Header (inkl. Referrer-Policy: strict-origin-when-cross-origin und Permissions-Policy: camera=(), microphone=(), X-Content-Type-Options, Content-Security-Policy). Sensible Datenverzeichnisse sind durch multi-versionale .htaccess-Barrieren vor direktem Web-Zugriff geschützt.
Atomares File-Handling: Die konsequente Nutzung von flock (File Locking) garantiert Datenintegrität und verhindert Race-Conditions oder Datenkorruption bei simultanen Schreib-/Lesezugriffen.

Smarte URL-Struktur & Kollisionsschutz: Automatische Erzeugung SEO-freundlicher Slugs. Der Dateinamen-Generator nutzt einen strikten Regex-Filter sowie hochpräzise Zeitstempel (Millisekunden-Basis), um systemunabhängige Robustheit zu garantieren und Kollisionen bei parallelen Speichervorgängen auszuschließen.
Effiziente Kompression: Optionale Gzip-Komprimierung (Level 9) für unverschlüsselte Inhalte zur Minimierung von Speicherplatzbedarf und Übertragungsraten.
Framework-lose Architektur: Schlanker, hochoptimierter PHP-Code ohne externe Backend-Abhängigkeiten (außer spezialisierten Bibliotheken wie HTML Purifier/PHPMailer). Dies garantiert minimale Ladezeiten, volle Kontrolle über den Datenfluss und eine wartungsarme Codebase.