11 private links
Tout à fait vrai
(et la discussion sur l'intérêt du casque en vélo qui en découle est parfaitement rafraichissante)
Ce résumé de l'attaque d'Uber est franchement terrifiant
Suite aux problèmes de SolarWinds, le gouvernement américain a mené une enquête, et son résultat semble ... mitigé.
Je suis toujours content de voir un logiciel réussir.
Mais je suis toujours triste de voir ce genre d'entreprise racheter des logiciels sur ces fonctionnalités, parce qu'à mon sens ça signe la fin du produit.
Si vous voulez savoir à quel point votre serveur web utilise correctement SSL/TLS (ou pas), ce projet open-source peut faire un tas de test depuis n'importe quel conteneur près de chez vous.
C'est le genre de démarche de sécurité que j'apprécie beaucoup.
Une application à installer dans votre SI qui se connecte à la base des CVE vous permettant de n'afficher que celles qui sont utiles dans votre environnement.
Une alternative à l'OWASP
Ca m'a l'air fort pratique et malin, cet outil de recherche de code prenant en compte les particularités du langage ...
Un outil d'attaque de base de donnée, qui se place dans le cas particulier d'un accès déja ouvert à la base de données ...
Ce moteur de recherche liste les services accessibles sur un serveur (et les CVE associées)
Une liste d'exploits pour aller corrompre des systèmes distants
Quand je lis ce document, j'ai l'impression de voir une autre forme de description d'architecture applicative se dessiner. C'est intéressant ...
Ca m'a l'air d'être une méthode d'identification des risques de sécurité qui sorte de "oulala, c'est grave, non mais tu te rends compte" tellement fréquent dans cet univers ...
Vraiment, les modules ont amélioré la sécurité 😅
(Je frappe sous la ceinture, il est vrai)
Franchement, je n'aimerai pas maintenir une application Java>15 sans conteneurisation correcte.
Il va falloir que je prenne le temps de lire toute cette liste tranquillement, parce que ça a l'air long, précis ... et efficace !
Je n'ai pas connaissance d'un équivalent en Java. Mais dans tous les cas, c'est un exemple frappent de l'intérêt x de sortir du string-typed programming si courant
En regardant une conf à @SnowCampIO, je me dis que ce serait bien d'ajouter l'un de ces plugins à mon Keepass
Une histoire flippante de Raspberry trouvé dans une armoire qui s'avère récupérer des informations pour les envoyer à "un pote". Le plus flippant ? Le degré d'amateurisme des attaquants.
Bravo aux équipes sécurité de montrer encore une fois leur incompétence en programmation ...
Quand on y réfléchit un poil, c'est vrai que c'est fou que cette "faille" de sécurité soit restée masquée pendant dix ans ... Est-ce que ça veut dire que l'outillage de sécurité n'est pas mature ? Peut-être bien