La sécurité n'est pas une considération secondaire chez Strucxis. Cette page explique les mesures
techniques en place pour protéger votre compte et vos données.
Authentification
- Les mots de passe sont hachés à l'aide de bcrypt avec un facteur de travail élevé. Nous ne stockons jamais de mots de passe en clair.
- Les sessions utilisent des témoins sécurisés, HTTP-only, SameSite=Lax, inaccessibles par JavaScript.
- Les jetons « se souvenir de moi » sont signés cryptographiquement et expirent après 30 jours.
- La vérification de courriel utilise un jeton signé à durée limitée (expiration de 24 h) pour confirmer la propriété du compte.
- Les jetons de réinitialisation de mot de passe expirent après 1 heure et sont à usage unique par conception.
Contrôle d'accès
- Toutes les routes de l'application, à l'exception de la page d'accueil, nécessitent une authentification.
- Les utilisateurs ne peuvent accéder, télécharger ou supprimer que leurs propres rapports.
- La propriété des rapports est appliquée côté serveur à chaque requête — pas seulement dans l'interface.
Limitation de débit
- Les tentatives de connexion sont limitées à 15 par minute par adresse IP pour ralentir les attaques par force brute.
- Les demandes de réinitialisation de mot de passe sont limitées à 6 par minute par IP.
Transport
- Toutes les connexions utilisent HTTPS (TLS). Les connexions HTTP sont redirigées automatiquement en production.
- HSTS est appliqué dans les déploiements de production.
Protection CSRF
Toutes les soumissions de formulaires modifiant l'état sont protégées par des jetons CSRF générés par Flask-WTF.
Les jetons sont liés à la session utilisateur et expirent après 1 heure.
Isolation des données
Les rapports de chaque utilisateur sont associés à son identifiant de compte. Le serveur vérifie la propriété
avant de servir tout téléchargement, suppression ou demande de listage de fichier.
Signaler une vulnérabilité
Si vous découvrez un problème de sécurité dans Strucxis, veuillez le signaler de manière responsable
par courriel à info@strucxis.com. Nous répondrons dans les 48 heures.
Veuillez ne pas divulguer publiquement les vulnérabilités avant que nous n'ayons eu une occasion raisonnable de les corriger.
Cette application est activement maintenue. Les correctifs de sécurité sont appliqués dès que les vulnérabilités
sont identifiées et vérifiées.