Wallet auth, pas de mot de passe
L'authentification applicative repose sur la session et la signature wallet. Aucun flux public ici n'indique un stockage de mot de passe classique.
Security
Une page sécurité publique, alignée sur les garanties réellement visibles dans le codebase.
Cette page évite les promesses vagues. Elle expose ce qui est objectivement présent aujourd'hui: auth wallet/session, headers de sécurité, garde-fous backend et points à documenter plus finement avant le launch.
Sessions protégées
Le backend utilise des sessions Express, des contrôles d'intégrité de session et une protection CSRF sur les routes concernées.
CSP et headers de sécurité
Le frontend Next.js envoie une Content-Security-Policy, HSTS, X-Frame-Options, Referrer-Policy et d'autres headers durcis.
Chiffrement et données sensibles
Les communications passent par HTTPS/TLS. Le codebase prévoit aussi des utilitaires de chiffrement côté serveur pour certaines données sensibles. TODO: [documenter précisément les périmètres couverts en production]
Contrôle d'accès des ressources
Les endpoints privés critiques s'appuient sur `requireAuth` et des vérifications d'ownership pour éviter l'exposition des données d'un utilisateur à un autre.
Disclosure & support
Pour toute question de sécurité ou signalement, le canal public affiché reste `support@neurolan.io`. TODO: [publier une vraie politique de disclosure si nécessaire]
Contact sécurité
Besoin de signaler un incident ou une vulnérabilité ?
Utilisez `support@neurolan.io` pour le moment. Si vous souhaitez un process formel de disclosure, bug bounty ou SLA de réponse, il reste à publier cette politique publiquement.