974 B
974 B
Audit de sécurité - ihm_client
Ce document synthétise la posture de sécurité, les contrôles, et les axes d’audit pour ihm_client.
Portée
- Surface frontend (TypeScript, Vite, dépendances npm)
- Intégration WASM (sdk_client)
- Messagerie iframe (
postMessage) avec sites hôtes
Contrôles actuels
- Validation et renouvellement de tokens de session liés à l’origine appelante
- Isolation des données privées (déchiffrement conditionné, clés requises)
- Aucune exposition de secrets runtime dans le code
Axes d’audit
- Dépendances: revue
npm audit, vérification des transitive deps - WASM: taille, init sécurisé, absence d’APIs dangereuses
- Iframe: vérification stricte des
origin, absence d’élévation via messages
Vulnérabilités connues
- Aucune critique ouverte à date
Plan de remédiation
- Mise à jour régulière des dépendances
- Tests de sécurité ciblés côté messagerie et décodage de données