Mes Liens en Vrac
1297 shaares
106 résultats
taggé
web
Un navigateur sert à arpenter le web, il est donc en première ligne face aux dispositifs de suivi des utilisateurs. Mais tous ceux proposés aux internautes se valent-ils sur le sujet ? Pour le savoir, nous les avons comparés en utilisant la protection de la vie privée comme fil conducteur, sans oublier leurs forces vives et autres faiblesses. Firefox ouvre le bal.
Comme nous avons pu le voir dans la première partie de cet article consacré au HTTPS, la sécurisation de la communication dans le monde du web est primordiale. Cette seconde partie est donc logiquement dédiée à sa mise en pratique, pour montrer qu’il est très facile de déployer des certificats gratuits, valables 90 jours et délivrés par une autorité certifiée.
Le HTTPS est au centre de pratiquement toute notre utilisation régulière de l’internet mondial. Facebook, Google, Amazon, Twitter, le présent blog et sûrement votre site de cuisine préféré utilisent le HTTPS. Dans un écosystème où les mesures de sécurité les plus élémentaires sont parfois négligées, voyons ensemble comment et pourquoi mettre en place le HTTPS sur votre propre site web.
Here are 10 of the most popular WordPress plugins which are still more vulnerable than you might think.
Depuis la version 1.15.2, NGINX a ajouté une fonctionnalité qui permet de faire une distinction entre un flux HTTPS et un autre flux TCP arrivant sur un même port. Ça permet par exemple de faire tourner en même temps sur le port 443 un service Web en HTTPS et un service VPN ou SSH. Et ainsi passer outre certains pare-feux restrictif qui ne laissent pas passer certains flux (Git, SSH, DNS personnalisé).
Sites lourds, sites lents, pages web obèses qui exigent pour être consultées dans un délai raisonnable une carte graphique performante, un processeur rapide et autant que possible une connexion par fibre optique… tel est le quotidien de l’internaute ordinaire.
Après ma grosse colère contre Firefox et ses développeurs pour avoir bazardé tout l’écosystème merveilleux d’extensions XUL, je m’étais mis à utiliser Chromium. Ma colère reste intacte face à autant d’imbécilité, qui amène à ce qu’aujourd’hui Firefox soit utilisé par un peu plus de 5% des internautes.
On prend les mêmes et on recommence. Ça devient lassant de lire toutes ces critiques envers la maison mère de Firefox. Vraiment. Les dernières nouvelles ont permis aux trolls de service de se lâcher :
Un autre thème que je voulais aborder : les contenus. Le Web en regorge, mais de nos jours, il est difficile de distinguer le vrai du faux. Nous avons au sein de Mozilla des experts qui doivent prendre part aux discussions sur le sujet et peuvent travailler sur des solutions expérimentales pour résoudre ce problème
Un autre thème que je voulais aborder : les contenus. Le Web en regorge, mais de nos jours, il est difficile de distinguer le vrai du faux. Nous avons au sein de Mozilla des experts qui doivent prendre part aux discussions sur le sujet et peuvent travailler sur des solutions expérimentales pour résoudre ce problème
The DoH specification in RFC 8484 defines a standardized format and protocol for sending Domain Name System (DNS) queries through HTTP rather than the traditional DNS protocol.
Sometimes you want to issue a curl command against a server, but you don’t really want curl to resolve the host name in the given URL and use that, you want to tell it to go elsewhere. To the “wrong” host, which in this case of course happens to be the right host. Because you know better.
Here’s why Mozilla Firefox should be your choice in the effort to protect your privacy and in keeping the internet healthy and an open place.
We use our web browsers to communicate, shop, get directions, research, and ask questions we are too embarrassed to ask a person. It’s no wonder that “How do I protect my web browsing?” is one of the most common questions people ask when they start learning about digital security. The various methods for protecting your browser security can be confusing, and can work together in counterintuitive ways.
The protocol that’s been called HTTP-over-QUIC for quite some time has now changed name and will officially become HTTP/3. This was triggered by this original suggestion by Mark Nottingham.
Nginx (short for Engine-x) is a free, open source, powerful, high-performance and scalable HTTP and reverse proxy server, a mail and standard TCP/UDP proxy server. It is easy to use and configure, with a simple configuration language. Nginx is now the preferred web server software for powering heavily loaded sites, due its scalability and performance.
Uses the Mozilla Observatory to scan sites and determine how secure they are.
Firefox Nightly now supports encrypting the TLS Server Name Indication (SNI) extension, which helps prevent attackers on your network from learning your browsing history. You can enable encrypted SNI today and it will automatically work with any site that supports it. Currently, that means any site hosted by Cloudflare, but we’re hoping other providers will add ESNI support soon.
Les prédateurs de la liberté de la presse n’ont pas attendu l’apparition du concept de “fake news” pour museler la presse au nom de la lutte contre ces fausses informations.
Votre adblocker sur le web, c’est comme une capote pendant un rapport sexuel. Et mieux vaut se méfier quand un inconnu vous demande de l’enlever.
Une tendance actuelle des sites web, souvent des médias en mal de business-model, est de vous criminaliser et vous demander de désactiver votre adblocker.
Une tendance actuelle des sites web, souvent des médias en mal de business-model, est de vous criminaliser et vous demander de désactiver votre adblocker.
« Web et vie privée » au Centre Social des Abeilles avec S. Bortzmeyer
With an ambitious decentralized platform, the father of the web hopes it’s game on for corporate tech giants like Facebook and Google.
Fin août sur Arte était diffusé un documentaire intitulé The Cleaners, les nettoyeurs du web. Dans ce film, les réalisateurs nous emmenaient aux Philippines à la rencontre de ceux qui – appelons un chat, un chat – censurent les réseaux sociaux que nous utilisons quotidiennement.
TinyCP is a lightweight control panel, that provides wide range of features on a Linux system, which features.
How do I install install PHP 7.2 with FPM for Nginx web server running on FreeBSD operating system?
Dans cet article, je vais vous présenter deux cas de phishing sur lesquels je suis tombé récemment via Phishtank. L’occasion d’en savoir un peu plus sur les méthodes des attaquants.
This blog is mainly reserved for cryptography, and I try to avoid filling it with random 512px-Google_Chrome_icon_(September_2014).svg“someone is wrong on the Internet” posts. After all, that’s what Twitter is for! But from time to time something bothers me enough that I have to make an exception. Today I wanted to write specifically about Google Chrome, how much I’ve loved it in the past, and why — due to Chrome’s new user-unfriendly forced login policy — I won’t be using it going forward.
How do I install an Nginx webserver under a FreeBSD Unix operating system? How can I install Nginx web server on FreeBSD?
A web server is a Server side application designed to process HTTP requests between client and server. HTTP is the basic and very widely used network protocol. We all would be familiar with Apache HTTP Server.
Si vous utilisez votre propre autorité de certification (Active Directory par exemple) il peut-être utile de générer une demande de signature de certificat (CSR) autorisant plusieurs noms communs (common name) dans le but d'obtenir un certificat HTTPS (X.509).
Haproxy est un outil toujours plus intéressant à mesure que je met les mains dedans (même si c’est parfois pénible, quand on manipule deux versions différentes dans la même journée — coucou la page de stats). Ici, j’aimerai vous présenter un petit cas pratique de séparation de traitement sur une même ferme en fonction de l’URI. Eh oui, c’est possible, et c’est super simple en fait.
Je m’étais promis de le faire avec mon changement de thème cet été, et c’est désormais le cas : les polices de ce site ne sont plus servies par Google Fonts.
In the few years since its introduction, Netflix’s online video streaming service has grown to serve over 50 million subscribers in 40 countries. We’ve already shared some of the best practices that Netflix’s software development engineers adopted as they transitioned from a traditional monolithic development process to continuous delivery and microservices, in Adopting Microservices at Netflix: Lessons for Architectural Design and Adopting Microservices at Netflix: Lessons for Team and Process Design.
If you're using the HTTP protocol in everday Internet use you are usually only using two of its methods: GET and POST. However HTTP has a number of other methods, so I wondered what you can do with them and if there are any vulnerabilities.
Aujourd’hui je vous présente un petit outil que j’ai écrit en Python. Il fait suite à diverses expériences autour du pentest web.
nginx configuration w/ Mozilla modern compatibility · GitHub
Vous avez déjà perdu une soirée à errer de vidéo en vidéo suivante ? À cliquer play en se disant « OK c’est la dernière… » puis relever les yeux de votre écran 3 heures plus tard… ?
Let’s Encrypt will begin issuing wildcard certificates in January of 2018. Wildcard certificates are a commonly requested feature and we understand that there are some use cases where they make HTTPS deployment easier. Our hope is that offering wildcards will help to accelerate the Web’s progress towards 100% HTTPS.
Piwik est une solution d’analytics qui peut être paramétrée pour s’exempter de la demande de consentement avant de déposer un cookie. Ce guide vous explique comment configurer Piwik pour être en conformité avec les recommandations de la CNIL.
Nous sommes bombardés presque chaque semaine d’alertes à la catastrophe numérique ou de pseudo-enquêtes au cœur du Dark Web, censé receler des dangers et des malfaisants, quand il ne s’agit pas d’une conspiration pour diriger le monde.
HTTPS Everywhere is a Firefox, Chrome, and Opera extension that encrypts your communications with many major websites, making your browsing more secure.
Aujourd'hui un billet qui porte sur Tomcat 8 et plus particulièrement faire du multi-instances.
If you are running Nginx webserver, it is important for you to understand how the location directive works.
Never configure nginx with the resolver directive pointing to a resolver on the Internet like Google Public DNS, OpenDNS, or your ISP’s resolver. Many nginx users make this exact mistake.
HTTP what? : I drew what HTTP is & how HTTP1.x and HTTP2 are different
Security in WordPress is taken very seriously, but as with any other system there are potential security issues that may arise if some basic security precautions aren't taken.
Alors que nous venons de dévoiler notre feuille de route pour les mois à venir ainsi que notre nouveau modèle économique, vous avez été nombreux à réagir et à nous poser des questions. Voici nos réponses et un premier bilan.
Durant mon temps libre, j’ai décidé de m’intéresser de prêt à Nginx. Il est vrai que je n’ai jamais eu l’occasion de le mettre en place étant donné que l’intégralité de mes environnements WEB tournent avec Apache. Nginx est un serveur Web spécialement conçu pour encaisser de très forts trafics.
Yesse is an effortless and instant web hosting service to temporarily share the projects you've been working.
« Darknet, deep web… les dangers du web »
"Un aide-mémoire des balises #HTML5
HTTP/2 Frequently Asked Questions
The guys from sucuri have recently published a blog post with details of a WordPress vulnerability which allows an unauthenticated attacker to easily edit any blog post of their liking by abusing a bug in the WordPress REST API. I am not going to write about the details of the vulnerability because that has been discussed in the original blog post as mentioned.
Some physicists 28 years ago needed a way to easily share experimental data and thus the web was born. This was generally considered to be a good move. Unfortunately, everything physicists touch — from trigonometry to the strong nuclear force — eventually becomes weaponized and so too has the Hypertext Transfer Protocol.
Using hosts file to block advertisement tend be much faster than using other popular extensions because it’s implemented in the operating system using a lower-overhead language (C or C++) – compared to a JavaScript-based ad blocking extension.
Vidéo en Anglais sur le web
Avoir l'ensemble de ses sites accessibles en https, avec des certificats letsencrypt ( gratuits et surtout renouvelés automatiquement ) et un serveur de cache ( varnish ) pour augmenter la capacité de charge ( bref optimiser les perfs des sites ) pour enfin passer le relais au backend ( Apache, Nginx .. peu importe ).
Boot Linux/OpenBSD/Oberon/FreeDOS/Others In Your Browser
Website speed test
Parmi les outils des pirates informatiques, nous trouvons l’attaque de l’homme du milieu. Un projet Français, baptisé CheckMyHTTPS, souhaite permettre de contrer le Man in the Middle SSL TLS.
How do I secure my Nginx web server with Let’s Encrypt free ssl certificate on my Ubuntu Linux 14.04 LTS or Debian Linux 8.x server?
You’ve got a blind date tonight and you want to find out more about the person you’re meeting. So you tap their name into Google to see if any red flags show up. But if you want to see the really juicy stuff and you live in the European Union, chances are better than ever you won’t find the links you’re looking for—unless you use the same kind of surreptitious service that lets people in China access banned websites.
Alors qu’Internet, et particulièrement sa version mobile, prend de plus en plus de place dans la vie quotidienne des entreprises, il est bon parfois de surveiller ce qu’il se passe sur la toile. Que ce soit pour mieux gérer son trafic ou pour améliorer la qualité de son site et de ses applications, voici 5 outils pour dévoiler les coulisses de vos protocoles HTTP.
Voici les dix règles de base, en quelque sorte les 10 commandements de la sécurité sur l’Internet.
Le monde du web regorge de vieilles rengaines, et « HTTPS c’est lent » en est une des plus persistantes … S’il est vrai que la négociation TLS ajoute un aller-retour à la connexion initiale, les navigateurs récents utilisent de nombreuses techniques pour accélérer cela.
Extending and consolidating hosts files from a variety of sources like adaway.org, mvps.org, malwaredomains.com, someonewhocares.org, yoyo.org, and potentially others. You can optionally invoke extensions to block additional sites by category.
Depuis quelques semaines, vous pouvez installer simplement et gratuitement un certificat Let's Encrypt sur votre serveur et disposer d'une connexion HTTPS. Mais que se cache-t-il derrière cette petite révolution qui veut généraliser le fameux cadenas vert ?
Anti-Adblock Killer helps you keep your Ad-Blocker active, when you visit a website and it asks you to disable.
Start-up montpelliéraine spécialisée dans la publicité vidéo sur internet, Teads.tv a réalise une étude pour mieux comprendre les motivations des internautes lorsqu’ils installent des ad-blockers et les leviers qui peuvent aider à rendre la publicité mieux acceptée et moins intrusive. Pour télécharger l’étude complète, rendez-vous sur cette page et sinon ayez un avant-goût avec l’infographie ci-dessous !
During this week, I've been playing with CloudFlare free plan in order to turn my websites into HTTPS protected websites, while configuring my account and playing a little bit with bettercap I figured out something really weird and I tweeted this ( from the @bettercap account ).
J’ai moi aussi sauté le pas vers let’s encrypt avec toute l’encre numérique qu’il a fait couler ces dernières semaines j’ai eu envie d’en voir un peu plus. Cela tombe bien je projetais depuis un moment de chiffrer le blog alors « endavant ! » comme on dit par chez moi.
The World Wide Web. You use it everyday. It might even be as old as you are (born in March of 1989). And it all runs over Hypertext Transfer Protocol.
Un article sur comment remplacer facilement php5 par php7 sur Debian Jessie, installé avec le serveur web Nginx.
An HTTP Status Code to Report Legal Obstacles
Ou : utilisons un logiciel dont c'est le taf de proxyfier :-)
From a System Engineers point of view, Drupal itself is nothing else than a set of software that requires updates on a regular base. So what do you do? You treat it that way and update it whenever updates are needed and patch it as soon as security updates are available. The more tricky part is to always get notified immediately when security updates are required so you can patch all of your sites before shit hits the fan.
Il y a quelques semaines, des chercheurs en sécurité ont remarqué que pas mal de constructeurs de routeurs et d'objets connectés, utilisaient, probablement par paresse, les mêmes clés privées sur tout leur matériel.
Comme promis à plusieurs personnes, un petit billet sur les extensions que j’utilise pour tenter de protéger ma vie privée.
Http2: why the web is upgrading? - bdx.io 2015
Disponibles directement sur internet, utilisant de plus en plus du code partagé et traitant bien souvent des données sensibles (données bancaires, données clients…), les applications web sont devenues une cible privilégiée d’attaques pour les cybercriminels. Explications.
Dans les techniques d'authentification normalisées pour un client HTTP, la plus connue et la plus simple est le mécanisme Basic du RFC 7617. Mais elle a plusieurs failles de sécurité, comme le transmission explicite du mot de passe (et qui se fait en clair si on n'utilise pas HTTPS).
As of nginx 1.9.5, there is experimental support for HTTP/2. This article will show you how to enable HTTP/2 support in your Nginx configuration. This can be enabled or disabled per vhost, it does not have to be enabled server-wide.
Akamai vient de publier son rapport « État des lieux de l'Internet » portant sur le second trimestre de 2015.
RFC 7540 has been out for a month now. What should we expect with this new version?
À l’heure ou la prédominance de Google fait de plus en plus de bruit je voulais vous parler d’une alternative européenne pour effectuer ses recherches sur Internet. Il s’agit de « qwant« . Ce moteur de recherche alternatif a été lancé en France en février 2013 et surtout, il met en avant une politique respectueuse de la vie privée.
Multiples vulnérabilités dans WordPress
Pelican allows you to create a static blog. Most blog sites on the web are dynamic in the sense that the content of the site live in a database. In order to view a post on a blog, the server has to query the database, get the right content and then convert it into presentable HTML. However, in a static site, every page is pre-rendered by the static blog generator. This means that your entire blog can be uploaded to a server.
Voilà quelques temps que je vois des gens à aborder le sujet de l’interception du flux https en entreprise avec un point de vue qui me surprend.
CSS just for fun.
Why do we need a web server in base ?
The IESG has formally approved the HTTP/2 and HPACK specifications, and they’re on their way to the RFC Editor, where they’ll soon be assigned RFC numbers, go through some editorial processes, and be published.
Accusé de tarir les revenus de nombreux sites Internet, Adblock Plus a décidé de permettre aux sites qui le souhaitent d’être enregistré dans une Whitelist si ces derniers respectent certaines conditions.
Depuis 24h j’ai demandé à mon navigateur de bloquer les iframes et scripts tiers, c’est à dire ceux qui n’appartiennent pas au même domaine que la page que je visite.
µBlock - An efficient blocker for Chromium, Firefox, and Safari. Fast and lean. via @dekonnection
via @ncaproni
Comme je le dis souvent, pour avoir une bonne sécurité de son système d’information, il faut avant tout penser et agir comme un attaquant. C’est dans cette optique que l’on va aujourd’hui découvrir WPscan, un outil de scan de sécurité WordPress. via @ncaproni
e ne peux pas finir cette réflexion sur l’importance de la vie privée sans aborder la réponse trop souvent faite par ceux qui ne comprennent pas les enjeux : « je n’ai rien à cacher ». via @paulgreg via @nitot
Alors que le compte Twitter du Monde a été piraté, après plusieurs attaques sur le site, et dans un contexte où la sécurité devient de plus en plus une problématique pour chacun d'entre nous, comme pour les grosses sociétés, nous avons cherché à comprendre ce qu'il se cache derrière un terme un peu fourre-tout et de plus en plus à la mode : la « Cyberguerre ». via @xnx_twit
Cet article va aborder de façon pragmatique 4 points dans le contexte de l’OpFrance. via @nbs_system
Pour Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la vague d’attaques cyberdjihadistes que vient de connaître le France est presque un « non-évènement ». via @01net
Des hackeurs ont tenté de prendre le contrôle du compte Twitter du Monde.fr et ont réussi à s'infiltrer dans notre outil de publication, avant de lancer une attaque par déni de service. Les mécanismes de sécurité pour empêcher des publications par des personnes ne travaillant pas au Monde ont fonctionné. Le Monde va porter plainte. via @ThomasWieder
Thomas Ptacek laid out a number of arguments against DNSSEC recently (and in a follow up). We don't fully agree on everything, but it did prompt me to write why, even if you assume DNSSEC, DANE (the standard for speaking about the intersection of TLS and DNSSEC) is not a foregone conclusion in web browsers.