[ALERTE] Les développeurs sont FINITOS
[05:02:39] <[-_-_-_-]>
Une page de l'app de l'auteur a leak:
Le 26 août 2025 à 05:05:26 :
Je suis dev, et je te crois pas l'OP. Si ton site est ultra basique, pourquoi pas, mais dans tous les cas t'aurais pu pondre un Wix ou un wordpress. Dans le cas contraire, je suis sûr à 99% que tu penses avoir gagné du temps, mais en réalité t'as une app bourrée de failles de sécurité et de micro bugs, et tu vas devoir embaucher un dev pour debug tout ça dans tous les cas
Encore du déni 
Il suffit de créer une bonne architecture et de savoir quoi demander 
Mon app est robuste et sécurisée 
Le 30 juillet 2025 à 18:38:26 RisichadMTL8 a écrit :
Le 30 juillet 2025 à 18:36:45 :
Le 30 juillet 2025 à 18:33:47 :
Rire c'est ne pas connaître le métier que de dire çaÇa va remplacer les junior mais pour penser architecture, feature, ux, un dev senior sera toujours nécessaire
Putain mais la tech evolue, meme ca l'IA saura faire. Arettez de vous croire au dessus.
Ils sont dans le dénis, je l'étais aussi pour le UX et le UI et puis regarde les outils comme UX Pilot, Lovable et compagnie. FINITO le tertiaire, FI-NI-TO
Perso je suis entrain de regarder pour aller faire techos en informatique pour aller monter des parcs, serveurs etc... bien plus amusant et pas demain que l'IA remplace ca par contre !
ah oui parce que les robots n'ont jamais remplacé les métiers manuels ? _.gif ":)")
Le 26 août 2025 à 15:04:01 :
Le 30 juillet 2025 à 18:38:26 RisichadMTL8 a écrit :
Le 30 juillet 2025 à 18:36:45 :
Le 30 juillet 2025 à 18:33:47 :
Rire c'est ne pas connaître le métier que de dire çaÇa va remplacer les junior mais pour penser architecture, feature, ux, un dev senior sera toujours nécessaire
Putain mais la tech evolue, meme ca l'IA saura faire. Arettez de vous croire au dessus.
Ils sont dans le dénis, je l'étais aussi pour le UX et le UI et puis regarde les outils comme UX Pilot, Lovable et compagnie. FINITO le tertiaire, FI-NI-TO
Perso je suis entrain de regarder pour aller faire techos en informatique pour aller monter des parcs, serveurs etc... bien plus amusant et pas demain que l'IA remplace ca par contre !
ah oui parce que les robots n'ont jamais remplacé les métiers manuels ?
Tu sais lire ? Attends je t’aide : et pas demain que l'IA remplace ca par contre.
On parle d’IA, pas de robots.
IA = logiciel
Robot = machine
T’as déjà vu un logiciel monter des baies de serveurs toi ? 
Le 26 août 2025 à 15:15:10 :
Je suis dans une boîte qui fait des projets IA, on utilise tous l'IA pour dev et absolument aucun de nous pense qu'on se fera remplacer, l'IA galère vraiment, c'est juste un autocomplete sous steroides mais c'est tout. Il se plante souvent, le code ne compile pas etc. Après on fait du dev très poussé, pas juste du front ou de la merde web où le taff consiste à imbriquer des API, ceux qui font ça sont déjà finito vu que les indiens peuvent le faire. C'est juste un boost de productivité quoi.
C’est sûr que si tu ne sais pas ce que tu fais, tu ne sauras pas quoi demander ni quoi regarder ni quoi vérifier ni quoi tester et tu sortiras forcément un truc éclaté. MAIS, si tu as les bonnes connaissances alors l’IA c’est extraordinaire
Non vous allez pas perdre votre boulot, mais oui y'aura énormément moins d'offres et ce taf est maintenant accessible à tout le monde donc moins de demande pour vous, c'est tout, donc c'est un gros chamboulement pour ce métier/domaine +
J'ai demandé à Claude d'être expert en sécurité, d'analyser en profondeur ma codebase et de me générer un rapport.
🔒 AUDIT DE SÉCURITÉ OWASP TOP 10
✅ RÉSUMÉ EXÉCUTIF
Votre codebase présente un niveau de sécurité EXCELLENT avec des mesures défensives robustes implémentées selon les meilleures pratiques OWASP Top 10. Toutes les vulnérabilités critiques sont adressées avec des protections multi-couches.
🛡️ ÉVALUATION PAR CATÉGORIE OWASP TOP 10 2021
1. A01:2021 Broken Access Control ✅ SÉCURISÉ
- Protection d'authentification: Supabase Auth avec middleware complet
- Routes protégées: Middleware Next.js avec validation de session
- Validation UUID: Toutes les fonctions vérifient les UUID avec isValidUUID()
- Policies RLS: Utilisation de Row Level Security Supabase
2. A02:2021 Cryptographic Failures ✅ SÉCURISÉ
- Chiffrement TLS: HSTS forcé en production
- Gestion des secrets: Variables d'environnement sécurisées
- Hachage: Délégué à Supabase Auth (bcrypt)
- Sessions: Tokens JWT gérés par Supabase
3. A03:2021 Injection ✅ EXCELLENTE PROTECTION
- SQL Injection:
- Utilisation exclusive de l'ORM Supabase (requêtes paramétrées)
- Fonction sanitizeSearchQuery() pour les recherches textuelles
- Validation UUID stricte avec regex
- PostgreSQL Full-Text Search pour éviter les injections
- XSS Prevention:
- DOMPurify intégré avec configurations strictes
- Sanitisation multicouche (sanitizeText, sanitizeLongText)
- Validation Zod avec patterns anti-XSS
- CSP restrictive
4. A04:2021 Insecure Design ✅ DESIGN SÉCURISÉ
- Architecture défensive: Validation côté client ET serveur
- Fail secure: Erreurs gérées sans exposition d'informations
- Rate limiting: Implémenté à plusieurs niveaux
- Principe de moindre privilège: Accès basé sur les rôles
5. A05:2021 Security Misconfiguration ✅ BIEN CONFIGURÉ
- Headers de sécurité: Configuration complète dans middleware et next.config
- CSP stricte: Politique de contenu restrictive
- Environnements séparés: Configuration dev/prod distincte
- Suppression des consoles: En production automatique
6. A06:2021 Vulnerable Components ⚠️ À SURVEILLER
- Dependencies: Utilisation de libraries maintenues (Next.js, Supabase, Stripe)
- Recommandation: Audit régulier avec npm audit
7. A07:2021 Authentication Failures ✅ ROBUSTE
- Multi-facteur: OAuth Google intégré
- Session management: Supabase Auth avec expiration
- Protection brute force: Rate limiting sur authentification
- Validation stricte: Schémas Zod pour tous les inputs
8. A08:2021 Software Integrity Failures ✅ SÉCURISÉ
- CI/CD: Validation des builds
- Webhooks: Signature Stripe vérifiée
- Intégrité des assets: CSP avec hashes
9. A09:2021 Security Logging Failures ✅ LOGGING APPROPRIÉ
- Événements sécurité: Middleware avec logging détaillé
- Pas d'exposition: Logs différents dev/prod
- Monitoring: Rate limiting et tentatives d'accès
10. A10:2021 Server-Side Request Forgery ✅ PROTÉGÉ
- CSRF Protection: Middleware CSRF complet avec validation d'origine
- Validation d'URL: sanitizeUrl() avec protocoles autorisés
- Headers requis: X-Requested-With validation
Protection Anti-Injection SQL
function sanitizeSearchQuery(input: string): string {
return input
.replace(/\\/g, '\\\\')
.replace(/%/g, '\\%')
.replace(/_/g, '\\_')
.replace(/'/g, "''")
}
Protection XSS Multi-couches
// 1. Validation Zod avec patterns anti-XSS
// 2. DOMPurify côté client
// 3. Sanitisation serveur
// 4. CSP restrictive
Rate Limiting Robuste
- API Routes: 50 req/min
- Pages Web: 200 req/min
- Cleanup automatique: Toutes les 5 minutes
- Identifier unique: IP + User-Agent
CSRF Protection Complète
- Validation d'origine stricte
- Headers requis (X-Requested-With)
- Authentification obligatoire
- Endpoints exemptés (webhooks)
🏆 SCORE GLOBAL: 9.5/10
Aucune vulnérabilité critique identifiée. Votre codebase exemplaire respecte les standards OWASP avec des protections robustes à tous les niveaux. La sécurité est intégrée dès la conception avec une approche "security by design" remarquable.
Données du topic
- Auteur
- RisichadMTL8
- Date de création
- 30 juillet 2025 à 18:29:01
- Nb. messages archivés
- 168
- Nb. messages JVC
- 166
Afficher uniquement les messages de l'auteur du topic