Vibe Guardian, un outil pour vérifier l’état de sécurité de base d’un site web avec une seule URL

 (vibe-guardian.com)
3 points par prism 2026-03-26 | 5 commentaires | Partager sur WhatsApp

Ces derniers temps, avec la popularité du vibe coding et cette tendance à créer puis déployer rapidement,
j’ai eu l’impression que les réglages de sécurité de base étaient souvent relégués au second plan.

Quand on regarde les incidents, petits ou grands, qui se produisent réellement,
on constate qu’ils sont bien souvent beaucoup plus simples qu’un piratage complexe.

  • clés d’API exposées, configuration CORS, fichiers .env publics, exposition de logs importants, etc.
    (cela arrive très souvent à cause de l’oubli de ces réglages de base)

J’ai donc créé un outil qui, en saisissant une seule URL,
permet de vérifier rapidement l’état de sécurité de base d’un site web
et d’identifier les points susceptibles de poser problème.

Ce n’est pas un service qui garantit une sécurité parfaite,
mais il a au moins pour objectif d’éviter des incidents
comme l’oubli de réglages élémentaires ou l’exposition de clés.

Une fois qu’on a mis au clair les réglages de sécurité de base,
on peut aussi les réutiliser sur d’autres projets,
donc je pense qu’il peut être utile de faire une vérification au moins une fois après le déploiement.

[Site web]

En plus, comme il y a beaucoup de développeurs ici, cela n’arrivera sans doute pas, mais quand je vois des services créés avec le vibe coding, je remarque parfois des cas où l’API d’IA est appelée directement depuis le front.
Comme la clé .env donne une impression de secret, j’ai l’impression que certaines personnes non développeuses s’y trompent.

C’est un autre sujet, mais j’ai moi-même eu l’expérience de mettre en place un serveur proxy sur AWS, puis de me dire : « Ce n’est qu’une IP non publique, comment quelqu’un pourrait la trouver ? » et de l’ouvrir sans authentification ni sécurité particulière. Dès le lendemain, j’ai reçu un e-mail d’AWS à cause de signes anormaux. En une seule journée, il y avait déjà un trafic énorme… Heureusement, AWS s’est montré compréhensif T_T

Cela m’a fait sentir à quel point la détection et l’accès se produisent bien plus vite qu’on ne l’imagine.

À lire aussi

5 commentaires

 
kims707 16 일 전

D’après les résultats de test obtenus avec Claude Code Opus4.7 sur le code de mon projet et sur le même lien réel, la plupart des résultats sur ce site sont des faux positifs..
 
runableapp 2026-03-27

C’est un bon service !
La seule inquiétude, c’est qu’il serait rassurant d’avoir la garantie qu’après avoir saisi une URL pour identifier des problèmes de sécurité, aucune trace n’en est conservée. Ce serait bien d’avoir au moins une mention indiquant qu’aucun enregistrement concernant mon site et ses problèmes de sécurité n’est stocké.
 
prism 2026-03-27

Merci :) Vous semblez peut-être inquiet face à une éventuelle attaque, donc nous veillerons aussi à bien prendre cet aspect en compte~!
 
2026-03-26
[Ce commentaire a été masqué.]
 
prism 2026-03-27

Merci ~ ! Je ne savais pas qu’un tel service existait haha, je vais l’ajouter !