Un article (et repo github) extrêmement complet sur les pratiques modernes dans le développement Java. Il y a tout un tas de bons conseils, et d'outils intelligents à mettre en place.
C'est sans doute un point de départ bien plus intéressant que de simplement utiliser un artefact maven ...
Une bon sang d'astuce pour ouvrir facilement les modules Java. Je me demande si ça marche "vraiment"
Un outil très rigolo permettant de découper un fichier en plusieurs morceaux pour le protéger.
Un groupware (mail, calendrier, fichiers) qui inclut du chiffrement de bout en bout pour toutes les fonctionnalités. Ca m'a l'air bien ... Mais j'aimerais savoir où se trouvent les serveurs ...
Si vous voulez rendre dingue les espions d'internet, ce genre de logiciel vous permet de ne plus avoir d'empreinte sur le web à partir des polices de caractère de votre machine
Un outil sympa pour améliorer la sécurité d'un conteneur
La cheatsheet OWASP sur Docker est (évidement) très bien faite et très complète
Un très bon site pour sécuriser son application web
Une présentation très sympa autour de la sécurité web (avec des blagues sur les chats de qualitaye)
Un article bien organisé sur la sécurité dans le monde Docker. La liste des tâches à mener est bien détaillée.
Je vais pouvoir supprimer un ou deux plugins Firefox !
La prochaine fois que je dois installer une machine Windows 11, j'utiliserai ce logiciel magique.
Un outil graphique d'analyse d'attaque qui a l'air intéressant
Tout un tas de conseils pour sécuriser votre serveur SSH
Oh j'adore, parce qu'en vieillissant, je me rends beaucoup mieux compte de certains contenus limite.
Tout système logiciel a des failles. Et plus le système est complexe, plus les failles sont nombreuses. Et typiquement, le fait d'autoriser le HTML dans une zone de texte ajoute souvent beaucoup de complexité.
Pour celles et ceux qui quittent le twitterverse, un bon rappel : comme Twitter peut être utilisé comme source d'authentification, il vaut mieux aussi réussir à se connecter autrement avant de supprimer votre compte 😉
Imagine tu développe la lib de sécurité que TOUT LE MONDE utilise.
Et bêtement tu mets ">" à la place de ">=". ET PAF! VULNERABILITE!
Zero pression sur les développeurs, hein 😅
Parfois, la sécurisation des navigateurs est une plaie
La fondation OWASP maintent un scanner de vulnérabilité ? C'est super chouette !
Tout à fait vrai
(et la discussion sur l'intérêt du casque en vélo qui en découle est parfaitement rafraichissante)
Ce résumé de l'attaque d'Uber est franchement terrifiant
Suite aux problèmes de SolarWinds, le gouvernement américain a mené une enquête, et son résultat semble ... mitigé.
Je suis toujours content de voir un logiciel réussir.
Mais je suis toujours triste de voir ce genre d'entreprise racheter des logiciels sur ces fonctionnalités, parce qu'à mon sens ça signe la fin du produit.
Si vous voulez savoir à quel point votre serveur web utilise correctement SSL/TLS (ou pas), ce projet open-source peut faire un tas de test depuis n'importe quel conteneur près de chez vous.
C'est le genre de démarche de sécurité que j'apprécie beaucoup.
Une application à installer dans votre SI qui se connecte à la base des CVE vous permettant de n'afficher que celles qui sont utiles dans votre environnement.
Une alternative à l'OWASP
Ca m'a l'air fort pratique et malin, cet outil de recherche de code prenant en compte les particularités du langage ...
Un outil d'attaque de base de donnée, qui se place dans le cas particulier d'un accès déja ouvert à la base de données ...
Ce moteur de recherche liste les services accessibles sur un serveur (et les CVE associées)
Une liste d'exploits pour aller corrompre des systèmes distants
Quand je lis ce document, j'ai l'impression de voir une autre forme de description d'architecture applicative se dessiner. C'est intéressant ...
Ca m'a l'air d'être une méthode d'identification des risques de sécurité qui sorte de "oulala, c'est grave, non mais tu te rends compte" tellement fréquent dans cet univers ...
Vraiment, les modules ont amélioré la sécurité 😅
(Je frappe sous la ceinture, il est vrai)
Franchement, je n'aimerai pas maintenir une application Java>15 sans conteneurisation correcte.
Il va falloir que je prenne le temps de lire toute cette liste tranquillement, parce que ça a l'air long, précis ... et efficace !
Je n'ai pas connaissance d'un équivalent en Java. Mais dans tous les cas, c'est un exemple frappent de l'intérêt x de sortir du string-typed programming si courant
En regardant une conf à @SnowCampIO, je me dis que ce serait bien d'ajouter l'un de ces plugins à mon Keepass
Une histoire flippante de Raspberry trouvé dans une armoire qui s'avère récupérer des informations pour les envoyer à "un pote". Le plus flippant ? Le degré d'amateurisme des attaquants.
Bravo aux équipes sécurité de montrer encore une fois leur incompétence en programmation ...
Quand on y réfléchit un poil, c'est vrai que c'est fou que cette "faille" de sécurité soit restée masquée pendant dix ans ... Est-ce que ça veut dire que l'outillage de sécurité n'est pas mature ? Peut-être bien
Si vous avez peur de la faille log4j (vous devriez), cette liste d'actions assez courte et efficace devrait vous permettre de regagner un peu de sérénité
Tout un tas de solutions de tunneling http, avec des prix et des contraintes différentes
Un tunnel permettant d'exposer un port de machine de dev sur internet ... Pratique pour, par exemple, développer une app Slack
Très bon article expliquant la fameuse attaque log4j et les moyens de s'en protéger
C'est tellement drôle comme réponse que je me verrais bien configurer mon Apache pour jouer de la zip-bomb
Un script Python de détection d'attaque log4shell. La méthode est assez basique : le script lit les fichiers de logs de la machine et regarde quels fichiers contiennent ${jndi:ldap:
Une astuce très moderne : utiliser la faille de log4j pour corriger la faille de lo4j
Une liste, évidement appelée à grandir rapidement, des entreprises et organisations affectées par la faille de log4j
Très intéressante explication d'un aspect théorique intéressant de la cryptographie.
Très bonne nouvelle pour tous les paranoïaques (qui ne relient jamais leur télé à internet) : Samsung a décidé de bricker les télés volées dans un entrepôt à distance ... Et on voit immédiatement tous les abus arriver.