Retours d'expérience, problèmes et solutions
Mes annonces Leboncoin coulaient en 3 jours. J'ai construit une extension Manifest V3 qui les republie en boucle et scanne les demandes de prospects avec scoring pondéré. Code, DataDome, anti-scam.
36 itérations sur un CV en deux heures. Claude code, je juge le rendu, double scoring ATS + recruteur à chaque passe. Ce que la boucle itérative change vraiment.
Tu mets tout dans ton CLAUDE.md parce que "plus de contexte = mieux". Comment j'ai coupé 52% d'un CLAUDE.md de production après un audit de sécurité, et pourquoi l'agent code mieux avec moins.
L'audit pré-pentest en passes successives. Comment vérifier les findings avant de paniquer, et comment sélectionner les probes qui deviennent des regression tests permanents.
Invariant event-XOR-error sur les command handlers. Comment informer le caller d'un résultat métier sans casser la séparation event/error, et pourquoi l'audit log doit être atomique.
tls.Config.VerifyConnection ne s'exécute qu'au handshake. Un client en keep-alive après révocation continue de servir. Pattern double-gate et hot-reload CRL avec check monotone.
Un seul port TLS qui sert trois hosts via SNI avec des niveaux de ClientAuth différents. Plus le pattern session cert binding pour bloquer le vol de cookie.
Synchronizer token server-side vs double-submit cookie : quand le second échoue, pourquoi le wire-order du middleware compte, et comment gérer les requêtes JS non-form.
N premiers échecs silencieux, puis backoff exponentiel cappé à 15 min. Pourquoi le status code ne doit jamais distinguer locked vs wrong creds, et comment reset proprement.
Si ton login répond en 1ms pour un user inconnu et 50ms pour un user connu, tu as un oracle. Le fix tient en 3 lignes. Le piège qui le casse 6 mois plus tard, en une seule.