Transparence sur les mécanismes prévus pour le site SEIBELLO.
En production, le site doit être servi exclusivement en HTTPS (TLS). Sur Cloudflare, activez toujours le mode SSL « Full (strict) », les redirections HTTP → HTTPS, et idéalement HSTS (déjà suggéré dans le fichier _headers à la racine du déploiement).
Le fichier _headers applique des en-têtes tels que X-Content-Type-Options, X-Frame-Options, Referrer-Policy et Permissions-Policy afin de réduire les risques de clickjacking, de MIME sniffing et d’abus des API navigateur.
La page principale inclut une balise meta CSP pour limiter les sources de scripts et de contenus. Sur Cloudflare, vous pouvez affiner via « Content Security Policy » ou des règles « Transform Rules » — évitez de dupliquer des politiques contradictoires entre meta et en-têtes HTTP.
Les formulaires d’inscription et de connexion enregistrent les données dans le localStorage de votre navigateur uniquement : cela sert à valider le parcours et le design. Ce n’est pas une base de données sécurisée : les mots de passe ne sont pas hachés et ne doivent jamais être traités ainsi en production.
Si une clé a été exposée publiquement, révoquez-la immédiatement dans le tableau de bord Cloudflare et créez un jeton à périmètre minimal (principe du moindre privilège).