Sécurité & protections

Priorité aux menaces réelles du produit : spam, XSS dans les champs texte, abus d’approbations, images trop lourdes, contenu toxique.

Protections minimales (cible)

• Validation des entrées côté client et serveur
• Échappement HTML systématique (anti-XSS)
• Rate limit : cooldown + quota par jour
• Limite de taille et de formats pour les images
• Filtre sur les liens (quota par contribution)
• Mécanisme de signalement

Comptes

Ne jamais stocker un mot de passe en clair : hash + sel avec PBKDF2 (implémentation actuelle côté navigateur pour les comptes locaux).

HTTPS

Obligatoire dès qu’il y a stockage de données sensibles ou authentification sur serveur.

Anti-fraude (approbations)

Règles prévues : une approbation par compte et par projet, limites journalières, détection de bursts et signaux de multi-comptes.