update

.paul/STATE.md

@@ -11,20 +11,20 @@ See: .paul/PROJECT.md (updated 2026-05-05)
 
 Milestone: v1.0 Production Release (v1.0.0)
 Phase: 9 of 9 (Finalizacja) — In progress
-Plan: 09-04 — Complete (Global iCal sync + widget "wszystkie jachty")
-Status: Loop closed, ready for next plan (09-05 Security audit)
-Last activity: 2026-05-07 — Closed loop 09-04 (tryb global iCal, widget zbiorczy z formularzem inquiry, privacy w REST title)
+Plan: 09-06 — Complete (blokada nawigacji kalendarza)
+Status: Loop closed, ready for next plan (09-07 Security audit)
+Last activity: 2026-05-08 — Closed loop 09-06 (validRange + REST /availability/bounds)
 
 Progress:
-- Milestone: [█████████░] 95%
-- Phase 9: [██████░░░░] 67% (4 of 6 plans complete)
+- Milestone: [█████████░] 97%
+- Phase 9: [████████░░] 75% (6 of 8 plans complete)
 
 ## Loop Position
 
 Current loop state:
 ```
 PLAN ──▶ APPLY ──▶ UNIFY
-  ✓        ✓        ✓     [Loop 09-04 complete, ready for 09-05]
+  ✓        ✓        ✓     [Loop 09-06 complete, ready for 09-07]
 ```
 
 ## Accumulated Context
@@ -36,14 +36,17 @@ PLAN ──▶ APPLY ──▶ UNIFY
 | OAuth bez Google PHP Client | 7 | Brak zależności zewnętrznych, manual token refresh |
 | FullCalendar via CDN | 4 | Brak bundlera, update ręczny |
 | Custom tabela availability | 1 | Wydajne zapytania, custom cache logic |
+| Privacy hardening REST `/availability/all` (09-04) → COFNIĘTE w 09-05 | 9 | Tytuły rezerwacji znów publicznie widoczne; security audit 09-07 ma to przeanalizować |
+| Per-day allDay events zamiast timed cross-midnight | 9 | Czysty layout w FC dayGrid; każda doba w osobnej komórce |
+| Publiczny endpoint `/availability/bounds` (09-06) | 9 | Frontend ogranicza nawigację bez auth; security audit 09-07 dorzuca do listy publicznych endpointów |
 
 ### Deferred Issues
 
 | Issue | Origin | Effort | Revisit |
 |-------|--------|--------|---------|
-| Tłumaczenia PL | Phase 1-8 | M | Phase 9 |
-| Security audit | Phase 1-8 | M | Phase 9 |
-| Dokumentacja PHP Doc | Phase 1-8 | L | Phase 9 |
+| Tłumaczenia PL | Phase 1-8 | M | Phase 9 (plan 09-08) |
+| Security audit | Phase 1-8 + privacy revert 09-05 + bounds 09-06 | M | Phase 9 (plan 09-07) |
+| Dokumentacja PHP Doc | Phase 1-8 | L | Phase 9 (plan 09-08) |
 
 ### Blockers/Concerns
 
@@ -51,16 +54,15 @@ None.
 
 ## Session Continuity
 
-Last session: 2026-05-07
-Stopped at: Loop 09-04 zamknięty — tryb global iCal + widget zbiorczy w produkcji
-Next action: Run /paul:plan to plan 09-05 (Security audit). Klient: usuń `test-overlap-bookings.php` z FTP.
-Resume file: .paul/phases/09-finalizacja/09-04-SUMMARY.md
+Last session: 2026-05-08
+Stopped at: Loop 09-06 zamknięty — blokada nawigacji kalendarza zatwierdzona
+Next action: Run /paul:plan to plan 09-07 (Security audit)
+Resume file: .paul/phases/09-finalizacja/09-06-SUMMARY.md
 Resume context:
-- Faza 9: 4/6 planów ukończonych (67%), milestone v1.0 95%
-- Plugin produkcyjnie obsługuje 2 tryby sync iCal (per_yacht, global) + nowy widget `[yacht_calendar_all]`
-- Privacy hardening REST: brak `customer_name` w title eventów (precedens dla security audit)
-- Plugin w wersji 1.1.0 (bump z 1.0.0)
-- Brak open issues, brak deferred items, brak blockers
+- Faza 9: 6/8 planów ukończonych (75%), milestone v1.0 97%
+- Plugin v1.2.1: validRange w widgecie zbiorczym (prev disabled na bieżącym miesiącu, next disabled po maxDate)
+- 09-07 (Security audit) ma TRZY publiczne endpointy do oceny: `/availability/{yacht_id}`, `/availability/all`, `/availability/bounds`; dodatkowo privacy revert (tytuły rezerwacji publicznie)
+- Brak open issues, brak blockers
 
 ---
 *STATE.md — Updated after every significant action*