L'article explique comment contourner les restrictions de sécurité qui bloquent les ports autres que HTTP/HTTPS (80 et 443) en utilisant HAProxy pour encapsuler le trafic SSH dans du SSL. L'auteur propose deux méthodes : la première consiste à rediriger le trafic SSH vers le port 443, et la seconde à encapsuler ce trafic dans du SSL pour tromper les pare-feux intelligents. L'article inclut des configurations détaillées pour HAProxy et des conseils pour sécuriser l'accès SSH
.

Après une soirée tardive, l'auteur a eu du mal à se lever et a manqué la première keynote du jour 2. Il a assisté à une présentation sur l'attaque xz utils et a lui-même donné un talk sur Kubernetes. Il a raté un talk sur TDD et IA, mais a assisté à une conférence sur les problématiques produit dans les grandes entreprises tech. Il a également participé à un quiz sur les conteneurs, manqué un talk sur Infisical, et assisté à un panel de staff engineers. Tout au long de la journée, il a eu des discussions enrichissantes avec diverses personnes, ce qui l'a empêché d'assister à tous les talks prévus.

sensio/framework-extra-bundle est déprécié et est remplacé par l'attribut natif de Symfony : #[IsGranted()]
L'auteur montre l'utilisation de Rector en plusieurs étapes pour faire la migration.

La KubeCon 2025 a souligné l'importance de la sécurité dans Kubernetes avec des solutions innovantes :

• Policy as Code : Automatisation de la conformité.
• Sécurité Réseau : Avancées avec Cilium et Hubble.
• Kyverno : Évolutions pour une gestion des politiques améliorée.

Ces innovations visent à sécuriser et rendre conformes les clusters Kubernetes.

L'auteur explique comment il a mené un audit de sécurité dans son entreprise : récupération de la liste des utilisateurs, constitution d'un dictionnaire, préparation d'une machine de calcul, cassage du maximum de mots de passe, et information auprès des personnes concernées. Il en profite pour rappeler quelques conseils de sécurité sur les mots de passe.

L'article explique la Content Security Policy (CSP) comme un mécanisme de sécurité essentiel pour les sites web, agissant comme un videur strict qui contrôle les contenus autorisés à s'exécuter. La CSP est configurée via un en-tête HTTP qui spécifie les sources autorisées pour les scripts, styles, images, etc. Elle protège contre les attaques XSS, clickjacking, et autres injections malveillantes en bloquant les contenus non autorisés. L'article détaille comment configurer la CSP dans un fichier nelmio_security.yaml, en définissant des directives comme default-src, script-src, et style-src pour restreindre les sources de contenu. Il souligne également l'importance de tester la CSP en mode report-only pour identifier les violations sans impacter les utilisateurs.

Cet article détaille une méthode progressive pour implémenter une politique de sécurité de contenu (CSP) sur un site web. La CSP est un en-tête HTTP crucial pour se protéger contre les attaques XSS. L'auteur propose cinq niveaux d'implémentation, allant de la configuration de base à des restrictions avancées, en passant par l'utilisation de Content-Security-Policy-Report-Only pour éviter les blocages intempestifs. Chaque niveau réduit progressivement les risques en restreignant les sources de scripts, styles et autres ressources. L'article insiste sur l'importance de maîtriser son front-end et de collaborer entre équipes pour une mise en œuvre efficace. Des conseils pratiques et des exemples de configurations sont fournis pour chaque étape.

L'article explique comment CORS, en tandem avec SOP, protège les utilisateurs en ligne en contrôlant le partage de ressources entre différents domaines. CORS permet des interactions sécurisées en définissant des exceptions aux restrictions de SOP, mais une mauvaise configuration peut exposer les utilisateurs à des attaques. Il est crucial de définir une politique CORS stricte pour éviter que des sites malveillants n'accèdent à des informations sensibles. Le guide détaille l'importance des en-têtes HTTP et des vérifications CORS pour prévenir les attaques CSRF. Il recommande de tester les modifications de politique CORS pour assurer la sécurité sans affecter le fonctionnement légitime du site. Une politique CORS bien configurée protège les données utilisateur et prévient les actions non autorisées.

L'article explique comment protéger les sites WordPress contre les attaques par injection SQL, une méthode couramment utilisée par les hackers pour accéder aux bases de données. Les sites WordPress, représentant 43% des sites web, sont des cibles privilégiées en raison de leur popularité. Une injection SQL peut endommager un site, voler des données et verrouiller l'accès administrateur. Pour se protéger, il est crucial de valider les entrées utilisateur, éviter le SQL dynamique, mettre à jour régulièrement les thèmes et plugins, utiliser un pare-feu, cacher la version de WordPress, personnaliser les messages d'erreur de la base de données, limiter les permissions des rôles utilisateurs, activer l'authentification à deux facteurs, supprimer les fonctions inutiles de la base de données, surveiller l'activité du site et effectuer des sauvegardes régulières. En cas d'attaque, il faut vérifier la base de données, supprimer le code malveillant, restaurer une sauvegarde propre, changer tous les mots de passe et renforcer la sécurité du site.

L'article aborde l'importance de connaître le temps de redémarrage des machines et de s'assurer que les équipements et services reprennent correctement après un reboot. Il soulève des questions sur la fréquence des redémarrages et leur impact sur la disponibilité des services. L'article met en avant la nécessité de tester régulièrement les procédures de redémarrage pour garantir la résilience des systèmes et minimiser les interruptions.

Rien à ajouter, la pub c'est une faille de sécurité

L'article de Smashing Magazine explore comment l'OWASP (Open Web Application Security Project) aide à sécuriser les applications web full-stack en se concentrant sur les dix principales vulnérabilités identifiées par l'OWASP. Voici un résumé des points clés abordés :

1. Introduction à l'OWASP Top 10 :

   • L'OWASP Top 10 est une liste des vulnérabilités les plus courantes, compilée par des experts en sécurité. Elle sert de guide pour les développeurs web cherchant à renforcer la sécurité de leurs applications.

2. Vulnérabilités Présentées :

   • Server-Side Request Forgery (SSRF) : Permet à un attaquant d'exploiter le serveur pour effectuer des requêtes non autorisées.
   • Échecs de Journalisation et de Surveillance de la Sécurité : Importance de la journalisation des transactions critiques pour détecter et corriger les problèmes de sécurité.
   • Échecs de l'Intégrité des Logiciels et des Données : Risques liés aux attaques de la chaîne d'approvisionnement et aux dépendances obsolètes.
   • Échecs d'Identification et d'Authentification : Prévention des attaques par force brute et importance des pare-feu d'applications web (WAF).
   • Composants Vulnérables et Obsolètes : Nécessité de maintenir les dépendances à jour pour éviter les vulnérabilités connues.
   • Mauvaise Configuration de la Sécurité : Importance de configurer correctement les en-têtes HTTP et autres paramètres de sécurité.
   • Conception Non Sécurisée : Les mauvaises pratiques de codage peuvent introduire des vulnérabilités difficiles à détecter.
   • Injection : Risques liés aux injections SQL et JavaScript, et comment les prévenir.
   • Échecs Cryptographiques : Importance de l'utilisation correcte des algorithmes de cryptographie pour protéger les données sensibles.
   • Contrôle d'Accès Défectueux : Assurer que les utilisateurs ne peuvent accéder qu'aux ressources autorisées.

3. Conseils Pratiques :

   • Utiliser des outils de surveillance et d'analyse pour détecter les vulnérabilités.
   • Appliquer des pratiques de codage sécurisé et comprendre les configurations de sécurité.
   • Se tenir informé des vulnérabilités courantes et des meilleures pratiques en matière de sécurité.

4. Ressources Supplémentaires :

   • L'article fournit des liens vers des ressources supplémentaires pour approfondir chaque vulnérabilité et des outils pour aider à sécuriser les applications web.

L'article met en lumière l'importance de la sécurité dans le développement web et comment l'OWASP Top 10 peut servir de guide pratique pour identifier et atténuer les vulnérabilités courantes dans les applications full-stack.

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Tout est dans le titre

Présentation d'une faille par injection HTML intéressante (et c'est pas du XSS) et comment s'en prémunir (utiliser DOMPurify)

L'auteur explique à quoi servent les attributs integrity et crossorigin dans

<script src="https://unpkg.com/react@18/umd/react.production.min.js"

integrity="sha384-tMH8h3BGESGckSAVGZ82T9n90ztNXxvdwvdM6UoR56cYcf+0iGXBliJ29D+wZ/x8"

crossorigin="anonymous">

C'est le 2e article de la semaine qui explique en quoi PGP ne sert plus à rien et est même dangereux

Suite de http://blog.ippon.fr/2024/11/22/bdx-i-o-2024-innover-et-reflechir-aux-enjeux-sociaux-des-technologies-de-demain-1-2/, le résumé des conférences :

• Karpenter, le futur de la gestion des noeuds Kubernetes
• Comment utiliser le NoCode comme un microservice dans une architecture logicielle complexe
• Les 20 minutes Typescript les plus rentables de votre vie !
• Je malmène ta prod en direct avec 15 failles de sécu
• Game over pour le design
• Pull Request Professionnelle : Comment promouvoir son travail en interne
• Sécurité automatisée - Regardez vos failles en face.
• Alerte, tout brûle ! Comment gérer des incidents techniques
• Angular change de logo mais pas que.
• Microservices Kotlin Benchmark : coroutines, virtual threads, grpc, http… le match !
• Keynote de fermeture : Si l'IA peut créer de la musique, à quoi servent les musiciens aujourd'hui ?