Extended Validation certificates are expensive and degrade performance. Move to an OV certificate if you can!
Cet article a pour but d’expliquer comment exposer, sans danger, votre API sur le web… et par conséquent à votre entreprise ! Sans oublier les deux objectifs d’une stratégie de sécurisation d’application : mener la vie dure aux attaquants potentiels, tout en facilitant la vie des consommateurs légitimes.
Configuring TLS is perhaps the most complicated and error-prone of all IT tasks, and this tries to make it as easy as possible.
"Every bit of JavaScript you add to a site is a potential way in for a hacker. This is doubly true if that JavaScript is hosted by someone else, such as on a public CDN. Subresource Integrity is a browser feature you can use to make sure that the code being used is exactly what you intended."
I’m harvesting credit card numbers and passwords from your site. Here’s how.
"Due to recently disclosed security vulnerabilities for nearly all computers, you should disable any JavaScript cookie manipulation on your website (e.g. when using the critical CSS technique) by setting your cookies to be SameSite and HttpOnly on the server, as recommended on the Chromium wiki. Otherwise, sensitive data, like session keys, may be exposed to malicious third parties."
How To Remove Unwanted HTTP Response Headers
"Striking the right balance between security and user experience is undoubtedly a big challenge for both large enterprises and small businesses. Yet with a proper DEM solution in place, it doesn’t have to be quite so daunting."
"HTTPS is easier and cheaper than ever before, and it enables both the best performance the web offers and powerful new features that are too sensitive for HTTP. There’s never been a better time to migrate! Developers, check out our set-up guides to get started."
"We created Let’s Encrypt in order to make getting and managing TLS certificates as simple as possible. For Let’s Encrypt subscribers, this usually means obtaining an ACME client and executing some simple commands. Ultimately though, we’d like for most Let’s Encrypt subscribers to have ACME clients built in to their server software so that obtaining an additional piece of software is not necessary. The less work people have to do to deploy HTTPS the better!"
"Observatory by Mozilla is a project designed to help developers, system administrators, and security professionals configure their sites safely and securely."
Si OAuth2 reste un concept flou pour vous ou que vous voulez tout simplement être sûr d’avoir compris ses rouages, cet article de Johann, un ancien collègue Clever Age, devrait vous intéresser.
"La politique de sécurité des contenus vous permet de protéger votre site web des effets de nombreuses vulnérabilités en lien avec l’injection de contenus. Découvrons pourquoi et comment utiliser ce simple en-tête HTTP, pourtant très puissant, et aujourd’hui largement supporté par les navigateurs web."
"There is a security vulnerability in npm by default that enables writing a worm that can propagate to anyone doing an npm install to a package that would contain an infected dependency (even if the dependency is deep)."
"In this post we will focus on our ever evolving use of Content Security Policy (CSP), as it is our single most effective mitigation. We can’t wait to follow up on this blog to additionally review some of the “non-traditional” approaches we have taken to further mitigate content injection."
"This particular decision involving navigation policies exposes web browsers to a greater risk than many might think. I personally would like to see these policies locked down a bit further. It might break some websites that rely on this weird functionality that probably should not even be there in the first place."
"Le statique n’est pas qu’une mode destinée à rester confidentielle parmi les hackers, il est même en plein essor. C’est une solution qui vous devriez sérieusement considérée si vous souhaiter atteindre des objectifs de qualité à moindre coût pour des sites de contenus (landing page, documentation, blogs, etc.) ou des single page app. Son écosystème est en plein essor et continue de se développer."
Use this file to prevent your computer from connecting to selected internet hosts. This is an easy and effective way to protect you from many types of spyware, reduces bandwidth use, blocks certain pop-up traps, prevents user tracking by way of "web bugs" embedded in spam provides partial protection to IE from certain web-based exploits and blocks most advertising you would otherwise be subjected to on the internet.
Chaque système a sa propre sécurité : les informations qu'il est prêt à exposer sans contrepartie et celles qu'il réserve à l'utilisateur authentifié.
Mais c'est éléments sont rarement les mêmes d'un système à l'autre, permettant à des individus de reconstituer, brique après brique, une identité en ligne.
C'est comme ça qu'en manipulant GoDaddy et PayPal, un contrefacteur d'identité a pu volé le username Twitter de Naoki Hiroshima, dont la valeur était estimée à $50 000.
APG est un générateur de mots de passe sécurisés. APG Online (lien dans l'en-tête) permet d'accéder à un client de génération en ligne. Il est notamment possible de définir la longueur du mot de passe désiré, le type de caractères contenus et s'il doit être prononçable ou non.
Utile pour des raisons de sécurité.
Rob Tiffany explique comment utiliser les possiblités offertes par Silvellight for Windows Phone pour encrypter les données stockées en local (avec AES, HMACSHA1, HMACSHA256, Rfc2898DeriveBytes, SHA1 ou SHA256). A utiliser conjointement à SSL pour les don
"How Secure Is My Password ?" est un vérificateur de complexité de mot de passe pouvant vous donner une estimation du nombre de jours de calculs nécessaires à la génération "brute" de celui-ci.
Pwnie for Mass 0wnage (Awarded to the person who discovered the bug that resulted in the most widespread exploitation. Also known as ‘Pwnie for Breaking the Internet') : An unbelievable number of WordPress vulnerabilities