Sonntag, 19. April 2026

changed

• **`.openclaw/workspace/tasks/vercel-incident-2026-04-19.md`**
• die Bestandsaufnahme um den echten Plattform-Abgleich erweitert:
• CLI-Identitaet `vibey434`
• Team-Mitglieder (`1` Owner)
• Shared-Env-Stand (`0`)
• Team-Policy-API-Wert `sensitiveEnvironmentVariablePolicy = default`
• die live in Vercel gesetzten Projekt-Environment-Variablen fuer `w3yh.xyz`, `gym-tracker`, `stocktracker`, `spielideengenerator`, `spielplatzcheck`, `clawbib` und `meindeinunser` samt Targets dokumentiert.
• das 30-Tage-Activity-Log verdichtet festgehalten:
• keine fremden User sichtbar
• erwartbare Deploy-/Alias-/Env-Ereignisse
• `spielplatz.w3yh.xyz`-Aliasproblem erneut durch Plattformdaten bestaetigt
• die Vercel-seitige Zugriffsoberflaeche dokumentiert:
• keine zusaetzlichen Projekt-Mitglieder
• keine Deploy-Hooks
• erwartete GitHub-Repo-Links auf `main`
• **`.openclaw/workspace/tasks/todo.md`**
• `VERCEL-INC-1` und `VERCEL-INC-2` auf erledigt gesetzt.
• `VERCEL-INC-8` auf `in Arbeit` mit deutlich kleinerem Rest reduziert.
• **`.openclaw/workspace/INCIDENT_LOG.md`**
• den Vercel-Security-Run als Incident-Log-Zeile festgehalten, damit Aufwand und Ergebnis nicht nur in der Arbeitsnotiz leben.

notes

• Der eigentliche Incident-Rest liegt jetzt nicht mehr in der Inventur, sondern bei Rotation/Widerruf/Re-Deploy:
• `VERCEL-INC-3` bis `VERCEL-INC-7`
• `VERCEL-INC-9`
• sowie `OPS-ALIAS` fuer die saubere Rueckverankerung von `spielplatz.w3yh.xyz`.

added

• **`.openclaw/workspace/tasks/vercel-incident-2026-04-19.md`**
• Team `vibey434s-projects` samt Team-ID dokumentiert.
• alle aktuell im Vercel-Team sichtbaren Projekte mit Projekt-ID, Framework und produktiv relevanten Domains festgehalten.
• lokale `.vercel/project.json`-Verknuepfungen gegen die Vercel-Projekte abgeglichen.
• Sonderfall `spielplatz.w3yh.xyz` dokumentiert: operativ auf `spielplatzcheck`, projektseitig weiterhin unter `spielideengenerator`.
• lokale Env-/Secret-Oberflaeche aus Code und `.env.example` fuer `w3yh.xyz`, `gym-tracker`, `stocktracker`, `meindeinunser` und weitere betroffene Repos zusammengezogen.
• Luecke explizit markiert: echte Vercel-Env-Listen aus der Plattform fehlen noch, weil weder lokaler CLI-Auth-Pfad vorhanden ist noch der aktive Connector Env-Variablen direkt liefert.

changed

• **`.openclaw/workspace/tasks/todo.md`**
• `VERCEL-INC-2` auf `in Arbeit` gezogen und auf die neue Arbeitsnotiz verlinkt.

changed

• **`.openclaw/workspace/tasks/todo.md`**
• Dateistand auf `2026-04-19 ` angehoben.
• im Block `Vercel Incident 2026-04-19` den Arbeitsmodus explizit festgehalten:
• Bestandsaufnahme ist gestartet
• echter Vercel-Dashboard-/Env-Abgleich geht von Dominik am PC weiter, nicht am Handy

changed

• **`.openclaw/workspace/tasks/todo.md`**
• neuen Incident-Block `Vercel Incident 2026-04-19` oberhalb des Handovers eingetragen.
• neun konkrete Arbeitspunkte aus dem offiziellen Vercel-Bulletin und direkten Folgeschritten festgehalten:
• Activity-Log pruefen
• Vercel-Env-Inventar bauen
• potenziell betroffene Secrets rotieren
• alte Secrets upstream widerrufen
• Ersatzwerte als `sensitive` neu anlegen
• Team-Policy fuer sensitive Env-Variablen einschalten
• Re-Deploys nach Secret-Rotation fahren
• Team-Zugriffe/Git-Integrationen pruefen
• direkte Betroffenenmeldung von Vercel abgleichen
• Dateistand auf `2026-04-19 ` angehoben.

why

• Dominik wollte den verifizierten Vercel-Incident-Kram nicht als Chat-Gelaber, sondern sauber in der zentralen Todo-Liste haben.
• Die Liste trennt belastbare Bulletin-Punkte von unbestaetigtem Social-/Forum-Larm.

problem

• der Production-Deploy von `spielideengenerator` hat automatisch auch die Custom-Domain `spielplatz.w3yh.xyz` auf das neue Deployment gezogen, obwohl diese Domain im Alltag fuer `spielplatzcheck` gedacht ist.

changed

• **Vercel / Domains**
• den frisch entstandenen Fehlalias erkannt, weil `spielplatz.w3yh.xyz/carpark/...` ploetzlich die Carpark-Dateien auslieferte.
• `spielplatz.w3yh.xyz` per `vercel alias set spielplatzcheck-33t30rdn5-vibey434s-projects.vercel.app spielplatz.w3yh.xyz --scope vibey434s-projects` sofort wieder auf den aktuellen `spielplatzcheck`-Production-Deploy gelegt.

verified

• `curl -Lsf https://spielplatz.w3yh.xyz | rg -o '<title>[^<]+' -m 1`
• liefert wieder `Spielplatzcheck Mainz | Finde den perfekten Spielplatz`.
• `curl -Lsf https://www.spielgenerator.de/carpark/src/data/campaignLevels.js`
• liefert `CAMPAIGN_VERSION = 14`.
• `curl -Lsf https://www.spielgenerator.de/carpark/src/game/levelMigration.js`
• liefert `LEVEL_ORDER_VERSION = 12`.
• `curl -Lsf https://www.spielgenerator.de/carpark/src/data/ogPhotoLevels.js`
• enthaelt `OG_5_151` mit `sourceNumber = 151` und `par = 16`.

changed

• **`carpark-brain-attack/PICTURES/intake/5.json`**
• `OG_5_151` nach Fotoabgleich als `accepted` rekonstruiert und mit vollstaendigem Fahrzeuglayout hinterlegt.
• **`carpark-brain-attack/src/data/ogPhotoLevels.js`**
• `OG_5_151` in den produktiven OG-Levelbestand aufgenommen; Mirror unter `spielideengenerator/public/carpark/src/data/ogPhotoLevels.js` im selben Lauf synchronisiert.
• **`carpark-brain-attack/src/data/campaignLevels.js`**
• `CAMPAIGN_VERSION` auf `14` angehoben.
• **`carpark-brain-attack/src/game/levelMigration.js`**
• `LEVEL_ORDER_VERSION` auf `12` angehoben, damit alter Fortschritt nicht auf die neue Reihenfolge zeigt.
• **`carpark-brain-attack/TODO.md`**
• offenen Batch-5-Stand auf vier verbleibende Boards reduziert (`143`, `152`, `159`, `160`).

verified

• `node `carpark-brain-attack/scripts/og-intake.mjs` verify --batch `carpark-brain-attack/PICTURES/intake/5.json` --only 151 --sync-par`
• `OG_5_151` solver-gruen mit `minMoves/par = 16`.
• `node `carpark-brain-attack/scripts/og-intake.mjs` apply --batch `carpark-brain-attack/PICTURES/intake/5.json` --only 151`
• importierter Campaign-Check
• `OG_PHOTO_LEVELS = 44`, `CAMPAIGN_SOURCE_LEVELS = 43`, `OG_5_151` liegt jetzt im aktiven Campaign-Pool.
• Vercel-Deploy `dpl_CWDaui1nnFKNSUkhTsHnsNSqd1Ff`
• live unter `https://www.spielgenerator.de/carpark`; Live-Check bestaetigt `CAMPAIGN_VERSION = 14`, `LEVEL_ORDER_VERSION = 12` und `OG_5_151` in `ogPhotoLevels.js`.

changed

• **`thelonginvestor/scripts/tli-gmail-hook-v2.mjs`**
• `gws`-Aufrufe auf einen robusteren Auth-Pfad gehoben: wenn `credentials.enc` und `.encryption_key` vorhanden sind, entschluesselt der Hook den frischen Refresh-Token selbst, holt bei Google ein Access-Token und reicht es als `GOOGLE_WORKSPACE_CLI_TOKEN` an jeden `gws`-Subprozess weiter.
• den Fallback mit In-Run-Token-Cache versehen, damit der Hook nicht fuer jede Gmail-Operation erneut einen OAuth-Refresh machen muss.
• `runGws`, Label-/Message-Fetch und `markProcessed` auf async umgestellt, damit der Token-Fallback sauber vor jedem CLI-Call vorbereitet werden kann.
• **`.openclaw/tli-briefing/tli-gmail-hook-v2.mjs`**
• die aktive Mirror-Kopie auf denselben Stand gezogen, damit keine Drift zwischen Projekt- und OpenClaw-Hook entsteht.

verified

• `node --check `thelonginvestor/scripts/tli-gmail-hook-v2.mjs`
• `node --check `.openclaw/tli-briefing/tli-gmail-hook-v2.mjs`
• `node `thelonginvestor/scripts/tli-gmail-hook-v2.mjs`
• Live-Lauf ohne manuell gesetztes `GOOGLE_WORKSPACE_CLI_TOKEN` wieder erfolgreich: `100` TLI-Mails gescannt, `24` Portfolio-Updates / `76` Skips, Markieren + TLI-Labeling liefen durch.
• Tyrone-Terminal-Gegencheck via `getTLIEntries(6)`
• neueste Eintraege bleiben u. a. `$HIMS X POST`, `$ONDS - WATCHLIST`, `$BABA - UPDATE - NEW CHART`, `$PEP - TOP 10 - SAFE HAVEN`, `$ZVRA - WATCHLIST` und sind damit weiter auf Stand des erfolgreichen Mailabrufs.

changed

• **`.openclaw/workspace/tasks/todo.md`**
• den erledigten Rueckblick-Block `Handoff 2026-04-19 UTC` aus der aktiven Todo-Liste entfernt.
• die bereits abgeschlossenen Cleanup-Punkte `CLEANUP-P0-1` bis `CLEANUP-P0-4` aus dem offenen Backlog entfernt.
• den Sammelblock `Erledigt → Changelog` gestrichen, damit die Datei wieder nur offene Arbeit zeigt.
• offene Restarbeit dedupliziert und verdichtet: `CLEANUP-P0-6`, `GYM-1`, `CBA-5` und `OPS-ALIAS` stehen jetzt nur noch einmal im Fokusbereich.

notes

• Die entfernten abgeschlossenen Punkte bleiben ueber die vorhandenen Monatslog-Eintraege und Incident-Zeilen nachvollziehbar, u. a.:
• `2026-04-19 ` fuer den TLI-/GWS-Fix
• `2026-04-19 ` fuer `OG_5_151`
• `2026-04-19 ` fuer den `spielplatz.w3yh.xyz`-Alias-Restore
• die W3YH-/Cleanup-Eintraege vom `2026-04-18`

problem (dominik-report)

diagnose

fix

• Erzeugt im Proxy einen Supabase-Server-Client gebunden an `request.cookies` + Response.
• Ruft `supabase.auth.getUser()` — triggert Refresh falls Access-Token abgelaufen.
• Im `setAll`-Callback:
• Schreibt neue Cookies auf `request.cookies` (damit downstream Server-Component via `cookies()` die frischen Werte sieht).
• Re-erstellt die Response (damit Next.js die aktualisierten Request-Cookies an den Downstream-Handler weitergibt — inkl. aktiver Rewrite).
• Schreibt neue Cookies auf `response.cookies` mit `domain: private.w3yh.xyz` (via `getPrivateCookieOptions`) → Browser bekommt Set-Cookie-Header.
• Hostname-Rewrites bleiben erhalten (`/` → `/private`, `/login` → `/private/login`, `/auth/callback` → `/private/auth/callback`, `/api/auth/magic-link` → `/api/private/auth/magic-link`, **neu: `/api/auth/password` → `/api/private/auth/password`**).

fluss jetzt

files

• `src/proxy.ts` — +91/-9 LOC, siehe Commit `d41b93a`.

commit

offen

• Deploy abwarten (~2min Build + Propagation).
• Dominik testet: neuer Magic-Link → ins Hub → Passwort setzen → sollte jetzt funktionieren. Logout + Re-Login mit Passwort → muss auch gehen.
• Falls weiterhin Probleme: Browser-DevTools → Application → Cookies pruefen, ob Session-Cookies mit `domain=private.w3yh.xyz` + `sameSite=Strict` + `secure` gesetzt sind. Evtl. vorhandene alte Cookies manuell loeschen und neu anmelden.