Cet article explique comment améliorer la gestion des permissions dans une application Symfony en utilisant les Voters, plutôt que des conditions if/else dans les contrôleurs. Les Voters permettent de centraliser et simplifier la logique de sécurité, en déléguant les vérifications d'accès à des classes spécialisées. L'auteur illustre cela avec un exemple concret de gestion des droits d'édition et de visualisation des posts dans un blog. Il montre comment créer et utiliser un Voter pour nettoyer et sécuriser le code des contrôleurs.
Ce partage explique l'importance de CORS (Cross-Origin Resource Sharing) pour sécuriser les sessions utilisateur sur les APIs web. Il décrit comment CORS agit comme un garde-fou en contrôlant l'accès aux ressources entre différents domaines, empêchant ainsi le vol de données via des requêtes cross-origin. L'article détaille les mécanismes de CORS, y compris les requêtes simples et les prévols (preflight), et fournit des exemples de configuration pour Symfony utilisant le NelmioCorsBundle, soulignant l'importance de la directive allow_credentials: true pour protéger les sessions utilisateur.
Jake Archibald explique les complexités de CORS (Cross-Origin Resource Sharing) dans un article détaillé, retraçant son historique et ses implications de sécurité. Il souligne que les requêtes croisées sans consentement, comme les images ou les scripts, ont causé de nombreux problèmes de sécurité, notamment avec les cookies et les données sensibles. Pour illustrer ses points, il a créé un outil interactif appelé "The CORS playground". L'article explore les raisons pour lesquelles CORS est conçu de manière complexe et comment il s'intègre dans les mécanismes de récupération des navigateurs.
L'article présente 5 scripts Bash dont on peut s'inspirer pour construire les nôtres.
- Création d'un backup
- Surveillance du CPU, de la mémoire et de l'espace disque disponible avec alerte en cas de besoin
- Audit de sécurité rapide
- Vérification rapide de la réponse des sites
- Partitionnement de disque dur
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Sans cet attribut, l'accès aux ressources de la page appelante par l'iframe est permis !
Dans cet article, l'auteur détaille et donnes des solutions aux 10 plus grosses failles identifiées par l'OWASP (the Open Web Application Security Project).
Tout est dans le titre