Un exemple de développement d'une couche d'authentification en JavaScript.
J'ai aussi fait ça moi-même dans quelques applications et c'est extrêmement formateur et sensibilisateur aux problématiques de sécurité liées à l'authentification au niveau protocolaire (HTTP, cookies, JWT, etc.).
J'ai le sentiment que très peu de dev le font encore par eux-mêmes et je pense vraiment que ça augmente le risque de mal configurer un outil un jour ou l'autre et d'ouvrir une faille béante sans s'en rendre compte. C'est un domaine complexe mais aussi super intéressant. Prenez le temps de vous y intéresser ! Idéalement sur un petit projet, histoire de réduire l'impact si vous vous plantez. Et si ça arrive c'est pas grave, apprenez de vos erreurs et la prochaine sera la bonne :)
Des bonnes pratiques de sécurité pour Node.
Une explication concise sur SPF, DKIM et DMARC, trois systèmes qui visent à renforcer la sécurité liée aux envos d'emails et le spam.
Dans le même genre que le lien précédent, un outil qui va analyser ce qu'il se passe lors de l'accès à une URL : les cookies, les redirections, les scripts, etc.
Collez une URL, l'outil y accède et vous dit tout ce qui s'est passé en chemin : les redirections, les scripts, les liens, etc. Parfait si vous avez un doute sur un lien reçu par email par exemple.
Ça ne constitue pas une sécurité infaillible mais ça peut déjà donner un bon aperçu.
Une checklist de sécurité personnelle, repartie en différentes catégories : authentification, navigation, email, etc.
Originale cette faille de sécurité avec les emails HTML, c'est assez malin !
Une saine lecture pour comprendre quels sont les risques de sécurités liés à l'utilisation de Docker et comment les limiter au maximum.
Le principe de limiter les privilèges au maximum et de n'ajouter que le strict nécessaire au fur et à mesure est une très bonne pratique, malheureusement trop peu souvent appliquée par manque de temps.
De nombreuses ressources relatives à la sécurité dans les applications Node.js.
Un moyen pour exporter vos codes OTP depuis Google Authenticator en vue de les importer dans une autre app du genre FreeOTP+.
index.js et migration-payload.proto et collez-y le contenu depuis ce lien.npm install protobufjs hi-base32node index.js <url obtenue depuis le QR code de GA> autant de fois que vous avez d'URLPensez à nettoyer l'historique de votre console à la fin. Si vous êtes avec un système UNIX, faites:
history -c
history -wVous pouvez aussi supprimer le fichier ~/.bash_history ou l'éditer et supprimer uniquement les lignes qui contiennent vos URLs entrées à l'étape 6.
Dix règles de sécurité à suivre lorsque vous travaillez avec NPM.
Un outil gratuit pour faire des scans de sécurité sur votre code.
Un topo sur une façon t'implémenter les refresh tokens JWT de manière sécurisée.
À utiliser sur vos propres infrastructures évidemment :)
AutoPWN Suite is a project for scanning vulnerabilities and exploiting systems automatically.
Une liste de bonnes pratiques de sécurité informatique qui couvre plein de domaines. Attention c'est long 😁
Les SMS sont un peu comme les mails (lorsqu'ils sont utilisés sans surcouche chiffrée) : c'est un vieux protocole qui est tout sauf sécurisé. Ça pose problème notamment pour la vie privée mais également pour l'authentification à deux facteurs.
Un outil pour tester la sécurité de votre serveur.
Une lib pour améliorer la sécurité d'une application Express.js en ajoutant plusieurs headers HTTP dans les réponses.