Colophon

Notes techniques sur la fabrication de ce site.

Construction

Ce site est codé à la main en HTML5 sémantique, CSS3 (variables CSS, Grid/Flexbox, mobile-first), et JavaScript vanilla. Aucun framework. Aucun pipeline de build. Aucune dépendance npm. Le code est lisible par un humain ouvrant la source.

Hébergement et infrastructure

• Hébergement : cPanel sur Apache 2.4 (LiteSpeed)
• Domaine : letakunga.com (DNSSEC activé)
• Certificat TLS : Let's Encrypt (renouvellement automatique)
• HTTP/2 et HSTS (preload-ready)

Sécurité

Le site implémente une politique de sécurité défensive complète :

• Content Security Policy (CSP) stricte — aucun script inline non autorisé
• HSTS avec includeSubDomains et preload
• X-Frame-Options: SAMEORIGIN — pas de clickjacking
• X-Content-Type-Options: nosniff
• Referrer-Policy: strict-origin-when-cross-origin
• Permissions-Policy restrictive (caméra, micro, géolocalisation, FLoC désactivés)
• Cross-Origin-Opener-Policy: same-origin
• Server fingerprinting masqué
• Empreinte IP hachée (SHA-256) dans les emails du formulaire — pseudonymisation RGPD préservant la capacité d'enquête anti-abus sans stocker de PII

Politique de divulgation responsable de vulnérabilités : /.well-known/security.txt (conforme à la RFC 9116).

Encore plus loin (roadmap) : HMAC sur le token CSRF du formulaire, SRI (Subresource Integrity) sur les assets tiers, CSP report-uri, et auto-hébergement complet des polices (cf. ci-dessous).

Vie privée & conformité RGPD

Zéro cookie. Zéro localStorage. Zéro sessionStorage. Zéro traceur tiers. Zéro analytics commercial. Ce site ne collecte aucune donnée passive sur ses visiteurs.

Le formulaire de contact applique une case à cocher RGPD explicite, hache l'adresse IP pour limiter le stockage de PII, et reçoit les messages sur une boîte cPanel hébergée chez Veloraweb (USA). Voir la politique de confidentialité et les mentions légales.

PWA & offline-first

Service Worker actif (/sw.js) — le site est installable comme application et reste consultable hors-ligne après la première visite (cache d'assets statiques + page d'accueil de secours). Manifest complet, icônes fournies en toutes tailles.

Accessibilité

Cible : conformité WCAG 2.1 niveau AA. Navigation clavier, hiérarchie sémantique des titres, ratio de contraste AA, alt sur toutes les images significatives, lang et hreflang corrects sur chaque page.

Performance

Cible : Lighthouse 95+ sur les quatre axes (Performance / Accessibility / Best Practices / SEO). Pas de JavaScript bloquant. Assets compressés via mod_deflate. Cache navigateur de 1 an sur les images, 1 mois sur CSS/JS. Total page weight ~ 200 Ko.

Internationalisation

Trois langues servies : fr, en, es. Chaque page déclare hreflang pour ses équivalents. Page racine sert une redirection 301 vers /fr/ par défaut, avec détection optionnelle de la langue navigateur côté client.

Métadonnées structurées

JSON-LD (schema.org) sur chaque page : Book, Person, Organization, NGO, WebSite, ProfilePage, Quotation. Open Graph et Twitter Cards complets.

Standards et conformité

• HTML5 valide (W3C)
• CSS3 valide (W3C)
• RFC 9116 (security.txt)
• RFC 5023 (humans.txt — tradition)
• PWA installable (manifest.json + icônes complètes)
• Schema.org structured data
• Conformité RGPD (aucune donnée personnelle collectée)

Polices typographiques

• Titres : Cinzel (Natanael Gama, SIL Open Font License)
• Texte courant : EB Garamond (Georg Duffner, SIL Open Font License)

Roadmap : auto-hébergement complet des polices au format WOFF2 (zéro CDN tiers, conformité RGPD stricte). Dans la version actuelle, les polices sont chargées via Google Fonts avec préconnexion ; la migration vers /assets/fonts/ est planifiée pour la prochaine release.

Code source

Le code de ce site est volontairement laissé non-minifié. Tout visiteur peut faire « Afficher la source » pour en inspecter la structure. Ce n'est pas du folklore — c'est une déclaration de transparence et de respect du métier.

Remerciements

Vide pour l'instant.

Conçu et codé à la main par l'auteur. Aucun framework. Aucun traceur.

English

This is a hand-coded static website. No framework, no build pipeline, no npm dependencies. Hosted on Apache cPanel with Let's Encrypt TLS, hardened with a full set of defensive HTTP security headers (HSTS, CSP, X-Frame-Options, etc.) for an A+ rating on SecurityHeaders.com. Zero cookies, zero trackers, zero commercial analytics. WCAG 2.1 AA accessibility. Schema.org structured data on every page. RFC 9116 vulnerability disclosure policy at /.well-known/security.txt.

Español

Este es un sitio web estático codificado a mano. Sin framework, sin pipeline de compilación, sin dependencias npm. Alojado en Apache cPanel con TLS Let's Encrypt, reforzado con un conjunto completo de cabeceras HTTP de seguridad defensivas (HSTS, CSP, X-Frame-Options, etc.) para una calificación A+ en SecurityHeaders.com. Cero cookies, cero rastreadores, cero analítica comercial. Accesibilidad WCAG 2.1 AA. Datos estructurados Schema.org en cada página. Política de divulgación responsable de vulnerabilidades en /.well-known/security.txt (RFC 9116).