La façon de se protéger contre les attaques de type CSRF se sont diversifiées.
Une explication à propos d'une vulnérabilité de HTTP qui n'est probablement pas la plus connue.
Un outil qui permet de trouver les failles d'APIs HTTP.
D'abord en cherchant les documentations type Swagger ou OpenAPI exposées publiquement par erreur, puis en "attaquant" chaque service pour trouver ceux qui ne sont pas suffisamment sécurisés où qui exposent des données sensibles.
L'idée est évidemment de l'utiliser sur vos propres APIs pour en renforcer la sécurité.
Via https://korben.info/autoswagger-outil-gratuit-trouve-failles-api.html
Comparaison des principales apps d'echange de messages en terme de respect de la vie privée et de la sécurité.
Comment sécuriser le compte root sur un système UNIX. C'est long et j'ai pas tout lu mais c'est intéressant 😁
Cette nouvelle fonction est très utile pour inclure du texte dynamique (qu'il vienne d'une saisie utilisateur ou d'ailleurs dans le code) dans une regex sans risque.
Quelques bonnes pratiques pour sécuriser vos GitHub actions.
L'intérêt d'utiliser des refresh tokens en plus des access tokens plutôt que "simplement" des access tokens avec une longue durée de vie.
Quelques points de sécurité important à prendre en considération pour l'usage des JSON Web Tokens (JWT).
Le point principal étant : pensez à systématiquement vérifier la signature d'un token avant d'en consommer le contenu.
Équivalent numérique du 17, pour signaler des soucis de "cyber malveillance" ou "cybercriminalité".
Si vous avez un doute sur un site web qui semble offrir des prix un peu trop attractifs, vérifiez sa réputation sur ce site d'abord pour voir s'il n'y a pas un souci.
Je viens de le faire avec une parfumerie en ligne qui promettait des prix 50% plus bas que partout ailleurs, et effectivement ça semble être une arnaque.
Un exemple de développement d'une couche d'authentification en JavaScript.
J'ai aussi fait ça moi-même dans quelques applications et c'est extrêmement formateur et sensibilisateur aux problématiques de sécurité liées à l'authentification au niveau protocolaire (HTTP, cookies, JWT, etc.).
J'ai le sentiment que très peu de dev le font encore par eux-mêmes et je pense vraiment que ça augmente le risque de mal configurer un outil un jour ou l'autre et d'ouvrir une faille béante sans s'en rendre compte. C'est un domaine complexe mais aussi super intéressant. Prenez le temps de vous y intéresser ! Idéalement sur un petit projet, histoire de réduire l'impact si vous vous plantez. Et si ça arrive c'est pas grave, apprenez de vos erreurs et la prochaine sera la bonne :)
Des bonnes pratiques de sécurité pour Node.
Une explication concise sur SPF, DKIM et DMARC, trois systèmes qui visent à renforcer la sécurité liée aux envos d'emails et le spam.
Dans le même genre que le lien précédent, un outil qui va analyser ce qu'il se passe lors de l'accès à une URL : les cookies, les redirections, les scripts, etc.
Collez une URL, l'outil y accède et vous dit tout ce qui s'est passé en chemin : les redirections, les scripts, les liens, etc. Parfait si vous avez un doute sur un lien reçu par email par exemple.
Ça ne constitue pas une sécurité infaillible mais ça peut déjà donner un bon aperçu.
Une checklist de sécurité personnelle, repartie en différentes catégories : authentification, navigation, email, etc.
Originale cette faille de sécurité avec les emails HTML, c'est assez malin !