Verlinke pro Challenge die passende offizielle Doku

Jede Challenge in challenges.html bekommt direkt unter dem Titel eine
Doku-Zeile, die auf die jeweils einschlaegige Direktive/Doku zeigt -
so finden Teilnehmer die maßgebliche Quelle statt zu googeln.

- 1-9, 11: offizielle nginx-Modul-/Direktiven-Doku (location, proxy_pass,
  upstream, rewrite, add_header, allow/deny, log_format, proxy_hide_header,
  return, Load-Balancing-Guide)
- 10: configuring_https_servers + ngx_http_ssl_module + Easy-RSA
- 12: ssl_protocols + add_header + HSTS (MDN)
- 13: Wireshark TLS-Wiki

Alle Ziel-URLs vorab auf HTTP 200 geprueft; Links oeffnen in neuem Tab
(target=_blank rel=noopener).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

proxy/html/challenges.html

@@ -196,6 +196,7 @@
 
         <details>
           <summary><span class="badge easy">Easy</span> 1) Routing verstehen (aktiv)</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_core_module.html#location" target="_blank" rel="noopener">location</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass" target="_blank" rel="noopener">proxy_pass</a></p>
           <p><span class="kw">Muss:</span> zuerst in <code>proxy/nginx.conf</code> nachsehen, dann testen.</p>
           <p><span class="kw">Warum wichtig:</span> Routing ist die Grundfunktion jedes Reverse Proxys - ohne sauberes Matching ist alles andere instabil.</p>
           <ul>
@@ -209,6 +210,7 @@ curl http://localhost:8080/service/b   # -&gt; "Target B"</code></pre>
 
         <details id="challenge-2-backend-c">
           <summary><span class="badge easy">Easy</span> 2) backend-c hinzufuegen</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_upstream_module.html#upstream" target="_blank" rel="noopener">upstream</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass" target="_blank" rel="noopener">proxy_pass</a></p>
           <p><span class="kw">Muss:</span> Compose-Service + Upstream + Route <code>/service/c</code>.</p>
           <p><span class="kw">Zusatz:</span> <code>backends/c/index.html</code> ist vorhanden und darf angepasst werden.</p>
           <p><span class="kw">Warum wichtig:</span> Neue Services kommen laufend dazu; Erweiterungen ohne Seiteneffekte sind Praxisalltag.</p>
@@ -220,6 +222,7 @@ curl http://localhost:8080/service/b   # -&gt; weiterhin "Target B"</code></pre>
 
         <details>
           <summary><span class="badge easy">Easy</span> 3) Eigene Route /demo/a</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite" target="_blank" rel="noopener">rewrite</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_core_module.html#location" target="_blank" rel="noopener">location</a></p>
           <p><span class="kw">Muss:</span> Alias-Route bauen, die auf Backend A fuehrt.</p>
           <p><span class="kw">Warum wichtig:</span> Der Proxy entkoppelt externe Pfade von internen Backend-Implementierungen.</p>
           <p><span class="kw">Zielzustand:</span> <code>/demo/a</code> liefert dieselbe Antwort wie <code>/service/a</code>.</p>
@@ -232,6 +235,7 @@ curl http://localhost:8080/service/b   # -&gt; weiterhin "Target B"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 4) Security Headers</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header" target="_blank" rel="noopener">add_header</a></p>
           <p>Setze mindestens <code>nosniff</code>, <code>DENY</code>, <code>strict-origin-when-cross-origin</code>, <code>Permissions-Policy</code>, <code>COOP</code>, <code>CORP</code>.</p>
           <p><span class="kw">Optional:</span> CSP fuer statische Seiten.</p>
           <p><span class="kw">Warum wichtig:</span> Diese Header reduzieren konkrete Browser-Angriffsvektoren und gehoeren zur Security-Baseline.</p>
@@ -242,6 +246,7 @@ curl http://localhost:8080/service/b   # -&gt; weiterhin "Target B"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 5) Interne Route absichern</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_access_module.html" target="_blank" rel="noopener">ngx_http_access_module (allow/deny)</a></p>
           <p><span class="kw">Muss:</span> <code>/internal/status</code> nur fuer <code>127.0.0.1</code>.</p>
           <p><span class="kw">Wichtig:</span> Host-Request zeigt typischerweise 403 (Docker-Netzwerk).</p>
           <p><span class="kw">Warum wichtig:</span> Nicht jeder Endpoint darf oeffentlich erreichbar sein; Netzsegmentierung beginnt oft am Proxy.</p>
@@ -252,6 +257,7 @@ curl http://localhost:8080/service/b   # -&gt; weiterhin "Target B"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 6) Logging verbessern</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_log_module.html#log_format" target="_blank" rel="noopener">log_format</a></p>
           <p>Eigenes <code>log_format</code> mit Upstream-Infos einbauen.</p>
           <p><span class="kw">Hinweis:</span> <code>log_format</code> gehoert in den <code>http {}</code>-Block, sonst startet Nginx nicht.</p>
           <p><span class="kw">Warum wichtig:</span> Ohne brauchbare Logs dauert Fehleranalyse deutlich laenger und Incident-Response wird unzuverlaessig.</p>
@@ -262,6 +268,7 @@ curl http://localhost:8080/service/b   # -&gt; weiterhin "Target B"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 7) Load Balancing</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/load_balancing.html" target="_blank" rel="noopener">Load Balancing (Guide)</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_upstream_module.html#upstream" target="_blank" rel="noopener">upstream</a></p>
           <p>Zweite Instanz von Backend A (<code>backend-a2</code>) einbauen und Round-Robin zeigen.</p>
           <p><span class="kw">Warum wichtig:</span> Lastverteilung ist Kernnutzen eines Reverse Proxys fuer Skalierung und Verfuegbarkeit.</p>
           <p><span class="kw">Zielzustand:</span> Ueber mehrere Requests antworten <b>beide</b> Instanzen (Mischung aus A und A2).</p>
@@ -272,6 +279,7 @@ done   # -&gt; Mischung aus "INSTANCE=A" und "INSTANCE=A2"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 8) Response Header Minimization</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_hide_header" target="_blank" rel="noopener">proxy_hide_header</a></p>
           <p>Mindestens einen Backend-Response-Header per <code>proxy_hide_header</code> ausblenden.</p>
           <p><span class="kw">Abgrenzung zu #4:</span> #4 setzt Schutz-Header, #8 entfernt unnoetige Header aus Upstream-Responses.</p>
           <p><span class="kw">Warum wichtig:</span> Weniger preisgegebene Metadaten erschweren Fingerprinting und zielgerichtete Angriffe.</p>
@@ -281,6 +289,7 @@ done   # -&gt; Mischung aus "INSTANCE=A" und "INSTANCE=A2"</code></pre>
 
         <details>
           <summary><span class="badge medium">Medium</span> 9) Debugging Challenge</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass" target="_blank" rel="noopener">proxy_pass (Trailing-Slash-Semantik)</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_upstream_module.html#upstream" target="_blank" rel="noopener">upstream</a></p>
           <p>Mit <code>proxy/nginx.broken.conf</code> arbeiten, Fehler finden und reparieren.</p>
           <p><span class="kw">Zuerst sichern:</span> diese Challenge ueberschreibt deine <code>nginx.conf</code> &rarr; vorher <code>cp proxy/nginx.conf proxy/nginx.conf.bak</code>, am Ende zurueckkopieren.</p>
           <p><span class="kw">Warum wichtig:</span> In der Praxis geht es oft um Diagnose unter Zeitdruck, nicht nur um Greenfield-Konfiguration.</p>
@@ -297,6 +306,7 @@ curl http://localhost:8080/service/b   # -&gt; "Target B"
 
         <details>
           <summary><span class="badge hard">Hard</span> 10) HTTPS von 0 (Easy-RSA)</summary>
+          <p><span class="kw">Doku:</span> <a href="https://nginx.org/en/docs/http/configuring_https_servers.html" target="_blank" rel="noopener">HTTPS-Server konfigurieren</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_ssl_module.html" target="_blank" rel="noopener">ngx_http_ssl_module</a> &middot; <a href="https://easy-rsa.readthedocs.io/en/latest/" target="_blank" rel="noopener">Easy-RSA</a></p>
           <p>Zertifikat fuer <code>localhost</code>, Port <code>8443:443</code>, Root-CA importiert.</p>
           <p><span class="kw">Wichtig:</span> Der neue Port ist eine Compose-Aenderung &rarr; mit <code>./scripts/lab.sh redeploy</code> deployen, nicht nur <code>./scripts/lab.sh proxy-reload</code>.</p>
           <p><span class="kw">Warum wichtig:</span> TLS-Grundaufbau ist Voraussetzung fuer vertrauliche und manipulationssichere Kommunikation.</p>
@@ -306,6 +316,7 @@ curl http://localhost:8080/service/b   # -&gt; "Target B"
 
         <details>
           <summary><span class="badge hard">Hard</span> 11) HTTP -&gt; HTTPS Redirect</summary>
+          <p><span class="kw">nginx-Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_rewrite_module.html#return" target="_blank" rel="noopener">return</a></p>
           <p><span class="kw">Voraussetzung:</span> Challenge 10 abgeschlossen. Bestehende Config weiterverwenden.</p>
           <p><span class="kw">Warum wichtig:</span> Redirect verhindert unabsichtliche Klartext-Nutzung und erzwingt den sicheren Transport.</p>
           <p><span class="kw">Zielzustand:</span> HTTP auf <code>8080</code> antwortet mit <code>301</code> und <code>Location: https://localhost:8443/...</code>.</p>
@@ -314,6 +325,7 @@ curl http://localhost:8080/service/b   # -&gt; "Target B"
 
         <details>
           <summary><span class="badge hard">Hard</span> 12) TLS Haertung + Chain + HSTS</summary>
+          <p><span class="kw">Doku:</span> <a href="https://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols" target="_blank" rel="noopener">ssl_protocols</a> &middot; <a href="https://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header" target="_blank" rel="noopener">add_header</a> &middot; <a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security" target="_blank" rel="noopener">HSTS (MDN)</a></p>
           <p><span class="kw">Voraussetzung:</span> Challenge 10 und 11 abgeschlossen. Gleiche Config weiter erweitern.</p>
           <p><span class="kw">Warum wichtig:</span> Erst Haertung + HSTS reduzieren Downgrade-Risiken und sorgen fuer dauerhaft sichere Clients.</p>
           <p><span class="kw">Warnung (HSTS-Falle):</span> Der Browser merkt sich HSTS host-weit fuer <code>localhost</code> (nicht pro Port). Nach <code>https://localhost:8443</code> wird auch <code>http://localhost:8080</code> auf https erzwungen. Zum Testen <code>curl</code> nutzen; Browser-HSTS ggf. unter <code>chrome://net-internals/#hsts</code> fuer <code>localhost</code> loeschen. <code>max-age</code> ist im Lab bewusst kurz (1h).</p>
@@ -328,6 +340,7 @@ openssl s_client -connect localhost:8443 -servername localhost</code></pre>
 
         <details>
           <summary><span class="badge expert">Expert</span> 13) Wireshark: HTTP vs HTTPS sauber ausarbeiten</summary>
+          <p><span class="kw">Doku:</span> <a href="https://wiki.wireshark.org/TLS" target="_blank" rel="noopener">Wireshark: TLS</a></p>
           <p><span class="kw">Warum wichtig:</span> Sichtbarkeit auf Paketebene macht den Sicherheitsgewinn von TLS fuer alle nachvollziehbar.</p>
           <ol>
             <li>HTTP auf <code>8080</code> mitschneiden und Klartext zeigen.</li>