# Validação da base web H2O Remote Manager v0.1.0

## Escopo validado

- lint sintático de todos os arquivos PHP;
- compilação TypeScript;
- build de produção com Vite;
- auditoria de dependências npm;
- inspeção das rotas, autenticação, autorização e CSRF;
- autenticação HMAC por dispositivo;
- proteção contra replay por nonce;
- fila de comandos com TTL, repetição e ACK/NACK;
- telemetria idempotente por `device_id + sequence_no`;
- revisão desejada e reportada de configuração;
- criptografia de segredos com AES-256-GCM;
- retenção e limpeza por cron;
- ausência de `node_modules` no pacote de produção.

## Resultado

- 26 arquivos PHP sem erro sintático;
- TypeScript sem erros;
- frontend compilado em arquivos estáticos;
- zero vulnerabilidades reportadas por `npm audit` no momento da geração;
- sessão web iniciada somente em rotas administrativas, evitando criação de sessões para cada requisição da ESP32;
- telemetria retransmitida é aceita de forma idempotente;
- identidade de produto, hardware e revisão é conferida contra o provisionamento do servidor;
- metadados administrativos existentes não são sobrescritos silenciosamente a cada polling.

## Validações ainda necessárias no ambiente de destino

- importação do schema em MySQL/MariaDB real;
- teste de `mod_rewrite` e document root apontando para `public`;
- certificado TLS válido no domínio;
- envio real de requisições assinadas por uma ESP32;
- comportamento do cron e limites do provedor;
- retenção, backup e restauração do banco;
- ensaio de carga com a quantidade esperada de Controllers;
- teste de recuperação após indisponibilidade do banco e da internet.

## Limites da versão base

- administração de usuários e cadastro inicial de dispositivos por CLI;
- configuração remota em JSON, ainda sem formulários por domínio;
- sem OTA remoto;
- sem multi-tenant;
- sem notificações externas;
- sem broker MQTT;
- sem cliente de nuvem integrado ao firmware v2.1.1.