26 lines
974 B
Markdown
26 lines
974 B
Markdown
# Audit de sécurité - ihm_client
|
||
|
||
Ce document synthétise la posture de sécurité, les contrôles, et les axes d’audit pour `ihm_client`.
|
||
|
||
## Portée
|
||
- Surface frontend (TypeScript, Vite, dépendances npm)
|
||
- Intégration WASM (sdk_client)
|
||
- Messagerie iframe (`postMessage`) avec sites hôtes
|
||
|
||
## Contrôles actuels
|
||
- Validation et renouvellement de tokens de session liés à l’origine appelante
|
||
- Isolation des données privées (déchiffrement conditionné, clés requises)
|
||
- Aucune exposition de secrets runtime dans le code
|
||
|
||
## Axes d’audit
|
||
- Dépendances: revue `npm audit`, vérification des transitive deps
|
||
- WASM: taille, init sécurisé, absence d’APIs dangereuses
|
||
- Iframe: vérification stricte des `origin`, absence d’élévation via messages
|
||
|
||
## Vulnérabilités connues
|
||
- Aucune critique ouverte à date
|
||
|
||
## Plan de remédiation
|
||
- Mise à jour régulière des dépendances
|
||
- Tests de sécurité ciblés côté messagerie et décodage de données
|