Un type d'attaque propre à JavaScript, et qu'il est important de comprendre pour écrire du code sécurisé.

Quelques pistes pour se protéger des supply chain attacks.

Proton liste les fuites de données personnelles majeures.

Les dernières recommandations du NIST en matière de choix de mot de passe.

En résumé :

1. Utiliser des phrases de passe suffisamment longues
2. Ne plus demander de complexité type 1 lettre, 1 numéro, 1 caractère spécial, etc.
3. Ne plus imposer de renouveler son mot de passe régulièrement, sauf en cas compromission identifiée bien sûr
4. Empêcher les mots de passe connus pour être faibles (coucou "123456") ou figurant sur des listes de comptes compromis
5. Ne plus utiliser les méthodes de récupération de type questions personnelles ("Quel est le nom de votre premier animal de compagnie ?") dont les réponses sont trop facilement trouvables
6. Encourager l'usage méthodes du MFA (authentification multi-facteur) et des gestionnaires de mot de passe

Un moteur de recherche pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking.

Via https://korben.info/sploitus-google-exploits-outils-hacking.html

Une API native arrive pour "nettoyer" une chaîne de caractères non-sure avant de l'injecter dans une page web. Les librairies de type DOMPurify seront bientôt optionnelles.

Un ensemble de bonnes pratiques pour limiter les risques d'attaque par chaîne d'approvisionnement (supply chain attacks) avec npm.

Quelques mesures pour éviter les supply chain attacks comme on en a vu quelques-unes dernièrement dans l'écosystème npm.

Article d'utilité publique qui explique de manière intelligible et en limitant les aspects techniques pourquoi il est essentiel de bloquer la pub sur le web et comment faire.

Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.

La façon de se protéger contre les attaques de type CSRF se sont diversifiées.

Voir aussi https://web.dev/articles/fetch-metadata#how_to_use_fetch_metadata_to_protect_against_cross-origin_attacks

Une explication à propos d'une vulnérabilité de HTTP qui n'est probablement pas la plus connue.

Un outil qui permet de trouver les failles d'APIs HTTP.

D'abord en cherchant les documentations type Swagger ou OpenAPI exposées publiquement par erreur, puis en "attaquant" chaque service pour trouver ceux qui ne sont pas suffisamment sécurisés où qui exposent des données sensibles.

L'idée est évidemment de l'utiliser sur vos propres APIs pour en renforcer la sécurité.

Via https://korben.info/autoswagger-outil-gratuit-trouve-failles-api.html

Comparaison des principales apps d'echange de messages en terme de respect de la vie privée et de la sécurité.

Comment sécuriser le compte root sur un système UNIX. C'est long et j'ai pas tout lu mais c'est intéressant 😁

Cette nouvelle fonction est très utile pour inclure du texte dynamique (qu'il vienne d'une saisie utilisateur ou d'ailleurs dans le code) dans une regex sans risque.

Quelques bonnes pratiques pour sécuriser vos GitHub actions.

L'intérêt d'utiliser des refresh tokens en plus des access tokens plutôt que "simplement" des access tokens avec une longue durée de vie.