Changelog

**Securite** - Correction critique: la suppression d'un element de la watchlist pouvait supprimer TOUTE la liste si le parametre etait manquant - Idempotence du webhook Stripe (plus de double invitation Plex sur les retries) - Le token Plex passe maintenant en en-tete au lieu de l'URL (plus de fuite dans les logs) - Whitelist SSRF sur le proxy d'images Plex - Les tokens OAuth Trakt sont maintenant chiffres au repos (AES-256-GCM) - Comparaison a temps constant sur les secrets cron (protege contre les attaques par timing) - Verrou atomique sur la reinvitation Plex (plus d'invitations en double) - Token ntfy retire du code source vers les variables d'environnement - Index ajoutes en base de donnees (webhooks plus rapides) **Mises a jour des bibliotheques** - SDK Stripe 17 -> 22 (nouvelle version API 2025-08-27.basil) - Zod 3 -> 4, bcryptjs 2 -> 3, lucide-react 0 -> 1, tailwind-merge 2 -> 3 - Resend 4 -> 6, react-email 0/1 -> 1/2 **Nouvelles fonctionnalites** - 2FA pour les admins (TOTP via apps authentificateurs + 8 codes de secours) - Journal d'audit (toutes les actions admin sont tracees: attribution/retrait de plan, activation 2FA) - Page FAQ (10 questions, FR/EN) - Animations de transition entre les pages (framer-motion) - Notifications push web (s'abonner depuis les Parametres, servi via VAPID) - Courriel de rappel 3 jours avant l'expiration d'un abonnement Interac **Infrastructure** - Le service de courriel est passe de Resend (tiers) a Stalwart auto-heberge sur le VPS OVH - Enregistrements DKIM/SPF/DMARC personnalises pour stovro.com