Revue de code post-correction — PD-240¶
Écarts corrigés¶
| Écart | Statut | Commentaire |
|---|---|---|
| ECT-240-02 | ✅ Corrigé | Purge RGPD étendue aux tables liées (device_trust, key_envelopes) + audit enrichi. |
| ECT-240-04 | ✅ Corrigé | Tests E2E ajoutés pour ERR-240-DELETE-FAILED (contexte mentionné). |
| ECT-240-06 | ⚠️ Partiellement corrigé | Blacklist Redis implémentée, mais mode dégradé “Redis indisponible → replay possible” subsiste. |
| ECT-240-07 | ✅ Corrigé | Rate limiting (3/user, 5/IP/15min) ajouté via guard dédié. |
Points positifs¶
- Purge RGPD transactionnelle et élargie aux tables liées, avec métriques d’audit.
- Protection replay via blacklist reauth token + TTL, intégrée au guard.
- Rate limiting explicite sur l’endpoint critique.
Points à améliorer¶
- La blacklist reauth est “best effort” : en absence de Redis, un replay reste possible (risque sécurité résiduel non masqué).
- La purge met à zéro
srpSalt/passwordHash: vérifier l’impact sur contraintes DB et logique d’auth (risque de régression si champs non nullable). - Le rate limiting ne précise pas la provenance de l’IP (proxies) ; risque de bypass si
X-Forwarded-Fornon normalisé.