Samstag, 18. April 2026

problem

• Hero-Untertitel ("warmes Bloomberg-Feeling, klare Routing-Kanten, keine verstreuten Localhost-Inseln") sagt nicht, was die Seite eigentlich ist.
• "Auth"-Karte war inhaltlich veraltet ("Supabase Magic-Link für sensible Bereiche") — widerspricht dem aktuellen Comfort-Login-Kurs.
• "Phase 4" und "next move" waren Meta-Kommentar zur Seiten-Entwicklung selbst, nicht ueber den Produktnutzen.
• About-Section negativ-framed ("Keine Linktree-Startseite").
• Kein direkter CTA zum Private Hub — der wichtigste Entry-Point fuer Dominik war nur als generischer Nav-Link da.

changed

• **`src/components/landing/terminal-hero.tsx`:**
• Kicker: "Data / Finance / Geopolitik / Vibecoding" → "Persönliches Routing-Hub" (beschreibt was die Seite ist).
• Untertitel ersetzt durch: "Eine Startseite für alle persönlichen Tools und Projekte. Öffentliches ist von hier aus einen Klick entfernt, Sensibles liegt hinter einem Passwort-Login im Private-Bereich."
• Drei-Kachel-Block neu strukturiert: **öffentlich** (projects + Count), **privat** (Passwort-Login + Handoff erwaehnt), **notes** (kurze Memos). Ersetzt "routing/auth/phase"-Meta.
• Primaerer CTA-Button jetzt **`[private hub →]`** in auffaelligem Akzent-Button; daneben [projects] + [notes] sekundaer. Der [about]-Button entfaellt im Hero (bleibt in Header/Footer).
• Sidebar "next move" (Meta-Text) durch "schnellzugriff" mit Direktlinks ersetzt (Private Hub, Notes, Projekte).
• "system status": "portfolio surface: private by default" → "auth: password + handoff" (aktuell + informativ).
• **`src/app/page.tsx`:**
• About-H2: "Keine Linktree-Startseite, sondern ein sauberes Routing-Hub" → "Eine Adresse für alle persönlichen Projekte." (positiv geframed).
• About-Copy konkreter: explizit genannt was im Private Hub liegt (Portfolio, Gym-Logs, Terminal).
• "current doctrine" → "prinzipien". Bullets weniger insider: "Rewrite-Zirkus" raus, "Magic-Link-Orgie" als expliziter Gegenpol zur Comfort-Login-Richtung rein, Passwortmanager genannt.
• **`src/components/landing/header.tsx`:**
• Header-Nav um **"Private →"**-Pill ergaenzt (Akzentfarbe, rechts) — damit ist der Private-Hub-Einstieg von allen Scroll-Positionen aus erreichbar, nicht nur im Hero.

warum

• Self-Description statt Meta-Commentary: Besucher (Dominik + Handvoll Vertraute) wissen nach 2 Sekunden, was der Hub ist und wo der Login-Einstieg liegt.
• Konsistent mit Comfort-Login-Kurs: Passwort-Login als Hauptweg, Magic-Link als Fallback — nicht mehr als Primaeres beworben.
• Primary-CTA zum Private Hub loest das echte Nutzungsmuster ab — Dominik kommt meistens um in seine eigenen Tools zu kommen, nicht um die Landingpage zu lesen.

verified

• `npx tsc --noEmit` → 0 Fehler.
• Kein Cleanup in `status-bar`, `project-grid`, `project-card`, `footer`, `notes`-Section — bleiben unangetastet.

offen

• Deploy + Sichtcheck (gewuenscht mit echter Private-Login-Session).
• Optional: Projekt-Karten im Grid evtl. noch gruppieren nach "öffentlich" / "privat" (nachziehen wenn die 6 Projekte-Karten in die Quere kommen).

fixed

• **Private-Hub Passwort-Panel "Auth session missing!"** — `supabase.auth.updateUser` lief über Browser-Client, der die `@supabase/ssr`-Session-Cookies nicht zuverlässig las. Fix: neue Server-Route `src/app/api/private/auth/password/route.ts` mit `createPrivateServerClient` + `auth.getUser()` Pre-Check. `password-panel.tsx` ruft sie jetzt per `fetch()`. Vollständiger Kontext in `.openclaw/changelog/2026-04.md` Eintrag .

changed

• **`src/components/landing/terminal-hero.tsx`:** Kicker "Data / Finance / Geopolitik / Vibecoding" → "Persönliches Routing-Hub". Untertitel sagt jetzt konkret was der Hub ist (Startseite für persönliche Tools, Privates hinter Passwort-Login). Drei-Kachel-Block neu: **öffentlich** (projects + Count), **privat** (Passwort-Login + Handoff), **notes**. Primärer CTA-Button `[private hub →]` in Akzentfarbe. Sidebar-Kachel "next move" durch "schnellzugriff" mit Direkt-Links ersetzt. "system status" zeigt jetzt `auth: password + handoff` statt `portfolio surface: private by default`.
• **`src/app/page.tsx` About-Section:** H2 "Keine Linktree-Startseite, sondern ein sauberes Routing-Hub" → "Eine Adresse für alle persönlichen Projekte." (positiv statt negativ geframed). Copy nennt explizit Portfolio/Gym-Logs/Terminal als Private-Inhalte. "current doctrine" → "prinzipien" mit verständlicheren Bullets (Magic-Link-Orgie als expliziter Gegenpol zur Comfort-Login-Richtung).
• **`src/components/landing/header.tsx`:** Zusätzlicher "Private →"-Pill in Nav (Akzentfarbe) — Private-Hub von allen Scroll-Positionen aus erreichbar.

added

• `src/app/api/private/auth/password/route.ts` — Server-Route für Passwort-Updates.
• `docs/comfort-login-scope.md` — Scope-Dokument mit Code-Audit + Verbleibende Schritte für Comfort-Login.

why

verified

• `npx tsc --noEmit` → 0 Fehler.

offen

• Deploy + Smoke-Test auf `https://private.w3yh.xyz/` und `https://w3yh.xyz/` (noch lokal, nicht gepusht).

problem

ursache

fix

• **Neu:** `src/app/api/private/auth/password/route.ts` — Server-Route macht `createPrivateServerClient(hostname)`, prueft via `auth.getUser()` dass eine echte Session existiert (401 sonst), und ruft dann `auth.updateUser({ password })` server-side auf. Session-Cookies werden dort zuverlaessig gelesen.
• **Aendert:** `src/components/private/password-panel.tsx` — ruft jetzt per `fetch("/api/private/auth/password", POST)` statt direkt Browser-Client. Behandelt `response.error` + `response.notice`. Entfernt `createPrivateBrowserClient`-Import.

warum das die richtige loesung ist

• **Magic-Link-Route** lebt auch schon server-side (`/api/private/auth/magic-link`) — konsistentes Muster.
• Password-Updates sind sicherheitsrelevant — Server-Validation ist sowieso die bessere Stelle (12-Zeichen-Check zusaetzlich in der Route).
• Kein Touching der `@supabase/ssr` Browser-Client-Konfig → null Regressionsrisiko fuer den Magic-Link-Login-Flow.

files

• `w3yh.xyz/src/app/api/private/auth/password/route.ts` (neu, 60 Zeilen)
• `w3yh.xyz/src/components/private/password-panel.tsx` (updateUser → fetch)

offen (dominik)

• Deploy + Smoke-Test auf `https://private.w3yh.xyz/` oder `https://w3yh.xyz/private`: Passwort >=12 Zeichen eintragen, "Passwort speichern" klicken, Browser-PW-Manager sollte nach Speichern fragen. Danach Logout + Re-Login mit Email+Passwort.

added

• **`w3yh.xyz/docs/comfort-login-scope.md`** — Status-Audit + Verbleibende Schritte. Befund: Die Comfort-Login-Infrastruktur ist im Code **bereits komplett implementiert**. Es fehlt nur noch der einmalige Passwort-Setup-Run durch Dominik plus 2 Konfig-Checks.

verified (code-audit)

• `src/components/private/login-client.tsx` — Password-Login als primaerer Submit-Button, Magic-Link als Secondary. `autoComplete="email"` + `autoComplete="current-password"` gesetzt, Form-Wrapping korrekt → Browser-PW-Manager kann autofuellen.
• `src/components/private/password-panel.tsx` — Passwort-Setz-UI im Hub, `autoComplete="new-password"`, 12-Zeichen-Minimum, `supabase.auth.updateUser({ password })`.
• `src/lib/private/{client,server,auth-config}.ts` — `@supabase/ssr` Client mit korrekten Cookie-Options (`domain: private.w3yh.xyz`, `sameSite: strict`, `secure: true`). Session-Auto-Refresh + Persist sind Defaults.
• Handoff-Flow zu `terminal`/`gym`/`stocktracker` ist sauber signiert via `W3YH_PRIVATE_HANDOFF_SECRET`.

verbleibende arbeit (siehe scope-dokument)

notes

• Empfehlung: Cookie-Domain bei `private.w3yh.xyz` (strict) lassen, Handoff-Flow bleibt. Cross-Subdomain-Cookies auf `.w3yh.xyz` waeren einfacher, aber brechen bestehende Sessions und erhoehen Blast-Radius.
• **P0-Block damit abgeschlossen.** Naechster Block ist P1 (Cron-Audit, `.openclaw`-Aufraeumrunde, Agent-Ordner, spielideengenerator Sitemap, Agent-Bridge-Bug). Dominik entscheidet wann + in welcher Reihenfolge.

moved

• `~/spielplatzcheck/` (866MB, veraltet) → `~/_archive/2026-04/orphan-worktrees/spielplatzcheck-stale/`

verified (warum canonical die wahrheit ist)

• **Git-State:** Canonical haengt auf `origin/main = 7b59d80 Fix playground loading with snapshot fallback`. Der veraltete Primary war lokal bei `5bfc8af dubletten entfernen` mit uncommitted Loeschungen eines nested `spielplatzcheck/`-Unterordners.
• **Vercel-Link:** `.vercel/project.json` existiert nur in `~/spielplatzcheck-canonical/spielplatzcheck/` (`projectId: prj_SaAyt6pOIJyY2eEzsFHWrmoni2BS`). Primary hatte keinen Deploy-Link.
• **Incident-Log:** Der Commit `7b59d80` korrespondiert mit dem Fix aus 2026-04-10 (Snapshot-First + Overpass-Fallback, Live-Re-Alias auf `spielplatzcheck-endb7u2ra-...vercel.app`) — genau der Stand, der auf `spielplatz.w3yh.xyz` laeuft.

notes

• Verbleibende Pfad-Struktur ist ungewoehnlich: Projekt liegt unter `~/spielplatzcheck-canonical/spielplatzcheck/` (doppelt-nested). Das ist jetzt so und funktioniert, aber optionales Folgetask: auf flachen `~/spielplatzcheck/` zurueckziehen.
• Naechster Schritt: `CLEANUP-P0-6` Private-Gate Comfort-Login scopen.

moved

• `~/workspace/gym-tracker/` → `~/_archive/2026-04/orphan-worktrees/gym-tracker/`
• `~/workspace/` (Top-Level) geloescht, war danach leer.

verified

• Beide Orte teilten dasselbe Git-Remote (`vibeY434/gym-tracker`), aber `~/workspace/gym-tracker` hatte nur 2 Commits (Initial + CHANGELOG Mirror), letzte Aenderungen aus Maerz, keine `node_modules`.
• Aktives PROD-Projekt `~/gym-tracker/` ist weiter vorhanden und unveraendert.
• Grep-Audit: nur eine historische Changelog-Referenz aus 2026-03 auf `workspace/gym-tracker` (Spiegel-Notiz), keine Live-Code-Abhaengigkeit.

notes

• Archiviert statt geloescht, weil die uncommitted `CHANGELOG.md`-Modifikation evtl. einmaliger Mirror-Content war.
• Top-Level `~/workspace/` existiert nicht mehr; nicht zu verwechseln mit `~/.openclaw/workspace/` (Tyrone-Workspace, PROD, unangetastet).

added

• **`_archive/2026-04/`** — neue Archiv-Konvention mit vier Unterordnern: `openclaw-config-backups/`, `content/`, `tli-backups/`, `workspace-bak/`.

moved (archiv statt loeschung, weil vielleicht historisch relevant)

• `~/.openclaw/openclaw.json.bak.1` bis `.bak.4` + `.antigravity_backup` → `_archive/2026-04/openclaw-config-backups/` (~63KB). Aktuelles `openclaw.json.bak` + `openclaw.json` bleiben als Safety-Net.
• `~/.openclaw/linkedinbeiträge.docx` (12MB) → `_archive/2026-04/content/`.
• `~/thelonginvestor-backup-20260313-1314.tar.gz` (19MB) → `_archive/2026-04/tli-backups/`.
• `~/.openclaw/workspace/{AGENTS.md,HEARTBEAT.md,MEMORY.md}.bak` → `_archive/2026-04/workspace-bak/`.

removed (leer oder totes artefakt)

• `~/download.html` (0B, 2026-03-27)
• `~/.openclaw/workspace/Dominik` (0B, Feb-Marker)
• `~/.openclaw/workspace/HEARTBEAT_OK` (0B, Feb-Marker)
• `~/apps/` (leeres Verzeichnis)

verified

• `grep -r` auf alle archivierten Dateinamen in `/home/openclaw` (Code, Scripts, Configs): keine aktiven Referenzen gefunden, nur Session-Logs + dieser Plan/Changelog.
• Aktuelles `openclaw.json` + `openclaw.json.bak` bleiben am alten Ort als aktiver Safety-Net.

notes

• Archiv-Konvention: `~/_archive/YYYY-MM/<kategorie>/` wird ab jetzt der kanonische Muell-/Sicherheits-Platz.
• Naechster Schritt: `CLEANUP-P0-5` Orphan-Check `~/workspace/gym-tracker` (kleiner, vorziehen), dann `P0-4` spielplatzcheck-Duplikat.

changed

• **`.claude/projects/-home-openclaw/memory/project_overview.md`** — komplett neu geschrieben (Stand 2026-04-18). Nachgezogen: `stocktracker` (426MB, `stocktracker.w3yh.xyz`), `spielplatzcheck` inkl. Duplikat-Tree-Hinweis, `w3yh.xyz` als Dachmarke mit Subdomain-Mapping, Comfort-Login-Anforderung, drei Cron-Quellen, PM2-Ist-Zustand, aktive offene Faeden. Alter Stand war 33 Tage alt.

notes

• Todo `CLEANUP-P0-1` abgeschlossen. Naechster Schritt: `CLEANUP-P0-2` Abhaengigkeits-Check fuer Backup-/Leer-Dateien.

added

• **`Cleanup-Plan.md`** — Masterplan in 7 Sektoren (Agent-Core, TLI-Stack, w3yh.xyz, DACH-Projekte, Spiele, Data-Ops, Orphans). Pro Sektor Ist-Zustand + Cleanup-Tabelle + Weiterentwicklung. P0–P3 Priorisierung. Basis: Changelogs, `INCIDENT_LOG.md`, Memory-Index, Live-Inspektion.
• **Comfort-Login-Anforderung** in Sektor 3 w3yh.xyz ergaenzt (Dominik 2026-04-18): Passwort-first Login auf `private.w3yh.xyz`, Magic-Link nur Fallback, PW-Manager-Autofill-Felder, lange Session-Lifetime fuer wochenlange Anmeldung, Ein-Login fuer alle Subdomains nach Handoff.

changed

• **`.openclaw/workspace/tasks/todo.md`** — Neue Sektion "VPS Cleanup & Efficiency" am Kopf mit 5 CLEANUP-P0-Tasks, verweist auf den Plan. Regel dokumentiert: vor jedem Archiv/Delete Abhaengigkeitscheck, nach jedem Schritt Changelog + todo.md pflegen.

notes

• Dominik hat den Plan grob abgesegnet und um Comfort-Login erweitert. Arbeitsmodus: schrittweise, nichts kaputtmachen, nach jedem Schritt festhalten, damit bei Usage-Limit klar ist, wo wir stehen.
• Naechster Schritt: CLEANUP-P0-1 (Memory `project_overview.md` aktualisieren).