securitylisted

# Security First — Prévention en amont Ce skill s'active quand du code touche à des zones sensibles, pour prévenir les failles avant la review. ## Zones de déclenchement - Authentification et sessions - Entrées utilisateur (formulaires, query params, headers) - Requêtes SQL ou base de données - Appels à des API externes - Gestion de secrets (clés API, tokens, mots de passe) - Upload et manipulation de fichiers - Génération de HTML/JS dynamique - Configuration CORS, CSP, headers de sécurité ## Checklists par contexte ### Authentification - Mots de passe hashés (bcrypt, argon2) — MD5/SHA1 sont crackables en secondes avec des rainbow tables - Sessions avec expiration et invalidation — une session éternelle est une porte ouverte permanente - Tokens JWT : secret fort, expiration courte, refresh token séparé — un JWT volé sans expiration = accès permanent - Rate limiting sur login/signup — sans rate limiting, le brute force est trivial - CORS configuré — `*` en production expose l'API à n'importe quel site ### Entrées utilisateur - **Tout valider côté serveur** — la validation front est contournable en une ligne de DevTools - Sanitiser avant stockage et avant affichage — une entrée non sanitisée est un vecteur XSS ou injection - Utiliser les validators du framework (Zod, Joi, class-validator, etc.) — éprouvés et maintenus vs regex maison fragile - Limiter la taille des inputs (longueur, taille fichier) — un input de 10MB peut saturer la mémoire du serveur ``` // MAL — conf