10 commits

Author	SHA1	Message	Date
Imugiii	35ead030b1	fix(auth): leurre anti-enumeration sur la demande de reset (parite timing/ecritures) ... PasswordResetService::requestReset repondait instantanement et sans ecriture sur un email inconnu, alors que le chemin email-connu genere un token (random_bytes + SHA-256), fait un UPDATE et envoie un mail : oracle de timing + de profil d'ecritures revelant l'existence d'un compte. Le commit P2 #11 annoncait pourtant une parite anti-enumeration PR-wide (vraie sur le login, pas sur le reset). payEnumerationDecoy() reproduit le cout CPU et UNE ecriture du chemin connu, mais sur id = 0 (aucune ligne, rien persiste) ; aucun mail. Meme pattern que le leurre du login (UPDATE no-op sur id = 0). Tests unknown-email (service + controleur) mis a jour : 1 ecriture leurre sur id=0, pas de mail. Suite 188 verte, PHPStan L6.	2026-06-16 12:02:19 +00:00
Corentin JOGUET	ad5203d3fc	feat(admin): throttle du PIN d action sensible par acteur (RG-T22) (#18)	2026-06-16 00:06:33 +02:00
Corentin JOGUET	2756fb4080	feat(admin): CRUD produits avec PIN conditionnel et audit (#17)	2026-06-15 22:35:50 +02:00
Corentin JOGUET	f63ac9873c	feat: PIN self-service P3 (/admin/profile/pin) (#16)	2026-06-15 22:04:14 +02:00
Corentin JOGUET	8290ceabc4	feat: CRUD categories P3 (rendu serveur, garde + CSRF + validation) (#15)	2026-06-15 21:45:31 +02:00
Corentin JOGUET	2bc22ab5c8	feat: shell back-office P3 (pages rendues serveur + garde) (#14)	2026-06-15 21:25:06 +02:00
Corentin JOGUET	7c35f8e2dc	feat: PIN d action sensible P2 (PinVerifier RG-T13) (#13)	2026-06-15 21:00:11 +02:00
Corentin JOGUET	f979a2339e	feat: RBAC P2 (autorisation par permission + garde de session + /api/me) (#12)	2026-06-15 20:45:19 +02:00
Corentin JOGUET	1b0b20c12d	feat: authentification back-office P2 (login/logout/reset, throttle, audit) (#11)	2026-06-15 20:18:59 +02:00
Imugiii	8c93b26ec0	feat(core): from-scratch PHP MVC skeleton (autoloader/config/PDO/router/front controller) + PHPUnit/PHPStan + composer-less CI	2026-06-15 14:13:49 +00:00