# Seguridad

## Implementado en Entrega 1

- Proxy tokenizado con AES-256-GCM.
- Token temporal ligado a usuario y sesion.
- No se entrega la URL IPTV real al navegador.
- Validacion de IDs positivos.
- Validacion de tipo `live`, `movie`, `series`.
- Allowlist de hosts upstream.
- Bloqueo SSRF para IPs privadas, loopback y reservadas.
- Rate limiting basico por IP/sesion.
- Logs con redaccion de credenciales, tokens, keys y URLs sensibles.
- CSP basica para el player.
- Headers `nosniff`, `Referrer-Policy`, `X-Frame-Options`.

## Pendiente para Entrega 2/3

- Reemplazo completo del login/admin hardcodeado.
- `password_hash` / `password_verify` en administradores.
- CSRF para panel admin.
- Migracion de API keys hardcodeadas a `.env`.
- Eliminacion definitiva de JWPlayer crackeado.
- Integracion de proxy path-based `/stream/{token}/...` si quieres URLs mas limpias.
- DASH proxy completo con reescritura de MPD/segmentos.

## Reglas de produccion

- No dejes `APP_DEBUG=true` en produccion.
- No dejes `VERIFY_SSL=false` en produccion.
- No dejes `.env` accesible por navegador.
- No permitas `ALLOWED_UPSTREAM_HOSTS=*`.
- No uses este sistema con contenido no autorizado.