Suite à un audit de sécurité, retrait de TOUTES les données réelles dans
le code et la documentation :
- src/viewer.js : commentaires-exemples qui contenaient de vrais noms +
numéros de téléphone (Seda Kaya, Hélène Dongiovanni, Krkic Admir et leurs
numéros) → remplacés par 'Nom1 Prénom1 +41XXXXXXXXX', etc.
- src/viewer.js : refs tickets EV avec dates concrètes (SYYMMDD_NNNNN avec
vraies dates) → remplacées par 'SYYMMDD_NNNNN' génériques.
- src/viewer.js : codes-barres / numéros de série (TPCQ_NNN, MNNN, DNNN,
TNNN avec vrais chiffres) → remplacés par 'XXXX_NNNNNNNN', 'XNNNNNN'.
- README.md, CHANGELOG.md, wiki Utilisation/Versions : exemples de référence
ticket S260424_00042 → SYYMMDD_NNNNN.
Aucune donnée nominative ni identifiant réel ne subsiste dans le code,
les commentaires, ni la documentation publique. Sha256 du .xpi mis à jour
dans firefox-updates.json.
Mozilla AMO rejetait le .xpi avec :
Unsupported "/background/service_worker" manifest property used without
"/background/scripts" property as Firefox-compatible fallback.
build.sh ajoute maintenant 'scripts: [background.js]' à background.* dans
le manifest Firefox uniquement (Chrome ignore 'scripts' quand
'service_worker' est présent ; Firefox ignore 'service_worker' et utilise
'scripts'). Les deux navigateurs chargent le même background.js.
Sha256 du .xpi v2026.5.41 mis à jour dans firefox-updates.json.
- update_url remis sur .../raw/branch/main/firefox-updates.json maintenant
que le repo est public (raw URL accessible sans auth).
- firefox-updates.json toujours à la racine, contient toutes les versions ;
Firefox lit la liste et choisit la plus haute compatible.
- Sha256 du .xpi v2026.5.41 mis à jour suite au rebuild.
- CLAUDE.md : note sur le channel d'update simplifiée.
- firefox-updates.json à la racine : manifest auto-update Firefox avec entrées
v2026.5.40 et v2026.5.41 (sha256 NON SIGNÉ pour le moment, à remplacer par
celui des .xpi signés AMO).
- build.sh : maintient firefox-updates.json automatiquement à chaque build
(ajoute ou met à jour l'entrée de la version courante avec son sha256
calculé sur le .xpi produit).
- CLAUDE.md : workflow complet pour Claude Code (build → test → push → wiki →
signature AMO). Token Gitea jamais dans le fichier (stocké hors repo en
mémoire Claude .claude/projects/.../memory/gitea_token.md).
- .gitignore : ajout _archives/, .claude/, .env, *.token, secrets.json.
- README.md / CHANGELOG.md : retrait email auteur en clair (renvoi vers
page wiki Contact, email obfusqué en entités HTML).
Quentin Rouiller