feat(audit): P103+P104+P105 Defeat-Device-Heuristik fuer Cookies

Drei zusammenhaengende Stufen 'Cookie-Verhalten ist anders als deklariert' —
analog zum VW-Diesel-Skandal-Pattern (Pruefstand vs Realbetrieb).

P103 (Stufe 3) — cookie_value_entropy.py:
Klassifiziert Cookie-Werte als flag/short_id/long_token/uuid/hash/json_blob
via Shannon-Entropy + Regex-Patterns. Wenn ein als 'essential' deklarierter
Cookie einen 64-char-Base64-Wert hat → MEDIUM-Finding 'Defeat-Device-Heuristik'.

P104 (Stufe 4) — cookie_network_tracer.py:
Vergleicht Cookie-Domain mit Site-Hauptdomain + bekannten Tracker-Vendoren
(50 Domains gemapped: doubleclick.net, facebook.com, demdex.net, omtrdc.net,
adsrvr.org, hotjar.com, ...). Wenn ein als 'essential' deklariertes Cookie
von externer Tracker-Domain gesetzt wird → HIGH. Drittland-Cookies werden
als 'DRITTLAND US/CN/...' markiert (Schrems-II-Folge).

P105 (Stufe 5) — tcf_vendor_authority.py:
Ingest-Endpoint POST /api/compliance/agent/admin/tcf-ingest holt die
IAB TCF v2 Global Vendor List (vendor-list.consensu.org/v3) und upserted
sie in cookie_library mit source='iab_tcf_v2'. cross_reference_with_tcf
fuzzy-matched cmp_vendors gegen die TCF-Liste — wenn Vendor in TCF als
Marketing gefuehrt aber Site sagt 'Funktional' → HIGH (externe Authority
widerspricht der Deklaration).

Alle drei rendern eigene Mail-Bloecke im Bereich Cookies (nach
cookie_audit_html, vor library_mismatch_html).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backend-compliance/compliance/api/agent_compliance_check_routes.py

@@ -207,6 +207,22 @@ async def get_snapshot(snapshot_id: str):
         db.close()
 
 
+@router.post("/admin/tcf-ingest")
+async def tcf_ingest():
+    """P105 — IAB TCF Vendor-Liste ingestieren / refreshen.
+    Idempotent: holt aktuelle GVL und upserted in compliance.cookie_library
+    mit source='iab_tcf_v2'. Aufruf ein paar Mal pro Jahr ausreichend."""
+    from database import SessionLocal
+    from compliance.services.tcf_vendor_authority import (
+        fetch_and_ingest_tcf_vendors,
+    )
+    db = SessionLocal()
+    try:
+        return await fetch_and_ingest_tcf_vendors(db)
+    finally:
+        db.close()
+
+
 @router.get("/snapshots/{snapshot_id}/pdf")
 async def export_snapshot_pdf(snapshot_id: str):
     """P88 — PDF-Export der Audit-Mail. Liefert application/pdf."""
@@ -1285,6 +1301,53 @@ async def _run_compliance_check(check_id: str, req: ComplianceCheckRequest):
         except Exception as e:
             logger.warning("Scope-disclaimer block skipped: %s", e)
 
+        # P103 + P104 — Cookie-Value-Entropy + Network-Tracing (Stufe 3 + 4)
+        entropy_html = ""
+        network_trace_html = ""
+        try:
+            from compliance.services.cookie_value_entropy import (
+                check_cookies_for_entropy_mismatch, build_entropy_block_html,
+            )
+            from compliance.services.cookie_network_tracer import (
+                trace_cookie_network, build_network_trace_block_html,
+            )
+            cookies_detailed = (banner_result or {}).get("cookies_detailed") or []
+            entropy_findings = check_cookies_for_entropy_mismatch(cookies_detailed)
+            if entropy_findings:
+                entropy_html = build_entropy_block_html(entropy_findings)
+                logger.info("P103 Entropy: %d Findings", len(entropy_findings))
+            primary_url = ""
+            for e_ in doc_entries:
+                if e_.get("url"):
+                    primary_url = e_["url"]; break
+            net_findings = trace_cookie_network(cookies_detailed, primary_url)
+            if net_findings:
+                network_trace_html = build_network_trace_block_html(net_findings)
+                logger.info("P104 Network-Trace: %d Findings", len(net_findings))
+        except Exception as e:
+            logger.warning("P103/P104 entropy/network-trace skipped: %s", e)
+
+        # P105 — IAB TCF Authority-Cross-Reference (Stufe 5)
+        tcf_authority_html = ""
+        try:
+            from compliance.services.tcf_vendor_authority import (
+                cross_reference_with_tcf, build_tcf_authority_block_html,
+            )
+            from database import SessionLocal as _SLtcf
+            _tcf_db = _SLtcf()
+            try:
+                tcf_findings = cross_reference_with_tcf(_tcf_db, cmp_vendors)
+                if tcf_findings:
+                    tcf_authority_html = build_tcf_authority_block_html(tcf_findings)
+                    logger.info(
+                        "TCF-Authority: %d Vendor-Discrepancies gefunden",
+                        len(tcf_findings),
+                    )
+            finally:
+                _tcf_db.close()
+        except Exception as e:
+            logger.warning("TCF-Authority-Check skipped: %s", e)
+
         # COOKIE-COMPLIANCE-AUDIT (3-Quellen-Vergleich) — das ist der
         # zentrale USP: deklariert in Richtlinie vs tatsaechlich im
         # Browser geladen vs Library-Match.
@@ -1524,6 +1587,9 @@ async def _run_compliance_check(check_id: str, req: ComplianceCheckRequest):
             + scorecard_html + redundancy_html
             + providers_html + banner_deep_html
             + cookie_audit_html
+            + tcf_authority_html
+            + entropy_html
+            + network_trace_html
             + library_mismatch_html
             + consistency_html + signals_html + solutions_html
             + jc_decision_html