Duplicati/rclone-Fixes, Basic Auth, Repo-Aufräumen

- Basic Auth: beliebige oder WEBDAV_USER/WEBDAV_PASS
- MKCOL: 201 bei existierendem Ordner (Duplicati-Kompatibilität)
- PUT: Leere Dateien, Retry bei File-already-exists
- Aufräumen: bridge-test, debug-files entfernt, webdav-server-Dep
- .env.example: API-Credentials entfernt, drive-web in gitignore
- README: Docs verlinkt, Schnellstart aktualisiert

Made-with: Cursor

docs/browser-token-auth.md

@@ -52,10 +52,16 @@ console.log('Mnemonic:', localStorage.getItem('xMnemonic') || '(nicht gefunden)'
 INXT_TOKEN=eyJhbGciOiJIUzI1NiIs...
 INXT_MNEMONIC=word1 word2 word3 ...
 # Namensentschlüsselung: CRYPTO_SECRET oder CRYPTO_SECRET2 (CLI-Default: 6KYQBP847D4ATSFA)
-# Falls Datei-/Ordnernamen verschlüsselt angezeigt werden: CRYPTO_SECRET2 aus drive.internxt.com extrahieren
 CRYPTO_SECRET=6KYQBP847D4ATSFA
+# Optional: WebDAV-Credentials erzwingen (sonst beliebige Credentials akzeptiert)
+# WEBDAV_USER=backup
+# WEBDAV_PASS=geheim
 ```
 
+## WebDAV-Credentials (für Duplicati, Explorer)
+
+Der Server erwartet **Basic Auth**. Ohne `WEBDAV_USER`/`WEBDAV_PASS` in `.env` akzeptiert er **beliebige** Credentials – Sie können in Duplicati z.B. Benutzername `backup` und Passwort `geheim` eintragen. Mit `WEBDAV_USER` und `WEBDAV_PASS` werden nur diese Credentials akzeptiert.
+
 ## WebDAV-Server starten
 
 ```bash