// docs / quotas & limits
Kontingente & Limits
Jeder unten aufgeführte Kontingent- und Rate-Limit-Wert wird zur Build-Zeit aus dem Entitlements-Modul abgeleitet. So kann diese Seite nicht vom tatsächlichen Server-Verhalten abweichen.
Ansprüche pro Tarif
| Kostenlos | Hobby | Pro | Unbegrenzt | |
|---|---|---|---|---|
| Scans / Monat | 3 | 50 | 200 | Unlimited-Plan¹ |
| Projekte (verifizierte Domains) | 1 | 1 | 5 | 20 |
| API-Tokens | 0 | 1 | 5 | 20 |
| Owner-depth scans | nein | ja | ja | ja |
| GitHub-Repo-Scans | nein | nein | ja | ja |
| Geplante Neu-Scans | nein | nein | ≥3h-Takt | ≥1h-Takt |
| Live-Bedrohungserkennung | nein | nein | nein | ja |
| Aufbewahrung | 7 Tage | 30 Tage | 90 Tage | 365 Tage |
| Teamplätze | 1 | 1 | 1 | 5 |
| Support | Standard | Standard | Priorität | dediziert |
¹ Das Scan-Kontingent des Unlimited-Plans unterliegt einer Fair-Use-Regel — siehe Nutzungsbedingungen. ² Das Standardlimit beträgt 20 Domains mit aktivem Monitoring bei einer Kadenz von ≥1h. Wende dich an support@fixweb.app, um es im Tausch gegen eine längere geplante Kadenz zu erhöhen.
API-Rate-Limits
Jeder /api/v1/*- und /api/mcp-Request wird auf einen Hash des Bearer-Tokens keyed und läuft durch zwei Fenster:
- Burst: 10 Requests pro Sekunde.
- Steady: 60 Requests pro Minute.
Bei 429 enthält die Antwort:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}Das ausgelöste Fenster wird in der Nachricht genannt (burst (10/s) vs. steady (60/min)), damit ein Client-Backoff sich anpassen kann.
Free-Plan-Scan-Ratenbegrenzung (pro IP/24)
Zusätzlich zum Limit von 3 Scans pro Monat pro Organisation gilt für Free-Plan-Nutzer eine zusätzliche Begrenzung pro IP/24: 3 Scans pro Stunde, 100 pro Tag. Derselbe Limiter deckt anonyme Sofort-Scans ab, was das Ausnutzen des Free-Kontingents über Wegwerfkonten verhindert. Anfragen, die eine der beiden Grenzen überschreiten, geben HTTP 429 Too Many Requests mit einem Retry-After-Header zurück.
Signup-Throttle (pro IP/24)
5 erfolgreiche Anmeldungen pro IP/24 pro 24 Stunden, um automatisierte Free-Plan-Kontoerstellung zu verhindern. Ratenbegrenzte Callbacks leiten zu /sign-in?error=rate_limited weiter.
Aufbewahrung
Scans + Funde werden gemäß obiger Tabelle automatisch gelöscht. Anonyme Einmal-Scans laufen 24h nach Erstellung ab. Audit-Logs werden 18 Monate aufbewahrt. Monitor-Snapshots werden auf die letzten 7 Tage plus die neueste Baseline pro (domain, signal) reduziert. Verworfene Alerts werden nach 90 Tagen gelöscht. Die gesamte Aufbewahrung wird täglich durch /api/cron/retention-cleanup durchgesetzt.