Sécurité

2025-08-21Sécurité

Un serveur rsyslog avec authentification TLS

Cet article explique comment configurer un serveur rsyslog sur GNU/Linux avec authentification TLS pour centraliser et chiffrer les logs. Il aborde les raisons de l'utilisation de rsyslog, les configurations nécessaires pour une installation sur Ubuntu, et des bonnes pratiques de sécurité. L'auteur souligne l'importance de chiffrer les flux de logs pour respecter des normes de sécurité comme l'ISO27001 et partage des conseils sur l'utilisation de certificats pour l'authentification, ainsi que la gestion des droits des certificats.

net-security.fr

ubuntu tls rsyslog

2025-08-20Sécurité

The Spring Security Configuration That Nearly Got Me Fired

Un développeur raconte comment une mauvaise configuration de Spring Security liée à l'authentification JWT a failli ruiner sa carrière et compromettre des données sensibles. En tentant de moderniser son application, il a introduit des failles de sécurité majeures, exposant des informations bancaires à d'autres utilisateurs, et ce, à ses collègues derrière un message Slack. Cette expérience met en lumière l'importance des configurations de sécurité dans le développement d'applications financières.

medium.com

spring api jwt

2025-08-20Sécurité

Ajouter la GeoIP à Nginx Proxy Manager

Cet article propose un tutoriel pour intégrer GeoIP dans Nginx Proxy Manager (NPM). Il décrit comment configurer NPM pour bloquer ou logger les visiteurs en fonction de leur localisation géographique, en utilisant les bases de données GeoLite2 de Maxmind. Le processus inclut des étapes allant de l'inscription pour obtenir les clés d'accès aux bases, à la configuration des modules nécessaires dans NPM. La nouvelle version de NPM simplifie cette intégration, permettant ainsi d'améliorer la gestion des redirections et la sécurité des services hébergés.

domopi.eu

geoip docker nginx

2025-08-13Sécurité

Locking Down My Java Apps: A Developer’s Journey to Spot and Patch Vulnerabilities

Cet article raconte le parcours d'un développeur Java qui a appris l'importance de la sécurité dans le développement d'applications. Il partage ses expériences concernant divers types de vulnérabilités, notamment les injections SQL, les attaques XSS et CSRF, ainsi que des solutions pratiques pour sécuriser les applications Java.

medium.com

sql deserialization csrf xss java

2025-08-11Sécurité

Securing the supply chain at scale: Starting with 71 important open source projects

GitHub a lancé le GitHub Secure Open Source Fund pour soutenir les mainteneurs de projets open source avec une formation sur la sécurité, réduisant ainsi les vulnérabilités dans l'écosystème logiciel. Après les deux premières sessions, plus de 1 100 vulnérabilités ont été remédiées, 50 nouvelles expositions de vulnérabilités communes ont été émises, et les projets ont adopté des meilleures pratiques de sécurité. Le programme a également permis des échanges sur l'utilisation de l'IA dans la sécurisation des projets.

github.blog

codeql github ai

2025-07-30Sécurité

OPNsense 25.7 est disponible - Provya

La version 25.7 d'OPNsense, surnommée 'Visionary Viper', introduit des améliorations significatives en matière de sécurité, de performance et d'ergonomie. Avec un assistant de configuration repensé utilisant une architecture MVC/API, un mode Web UI strict pour limiter les privilèges, et un tableau de bord amélioré, cette mise à jour facilite l'utilisation et la sécurité. De nouvelles fonctions incluent un support DHCP dual, un plugin de sauvegarde SFTP, et des modifications dans la gestion des alias et des services VPN.

provya.net

freebsd sftp opnsense

2025-07-23Sécurité

Une bombe zip HTML valide - ache

Cet article aborde la création d'une bombe zip HTML valide pour contrer l'agressivité des web crawlers destinés aux LLM. L'auteur décrit une méthode pour épuiser la mémoire des moissonneurs à l'aide de fichiers compressés, tout en garantissant que la page HTML reste valide. Le processus implique l'utilisation de commentaires HTML pour dissimuler la grande taille des données compressées. Des tests sur différents navigateurs montrent que cette approche est efficace pour provoquer des erreurs chez les crawlers, sans exploiter de failles de sécurité.

ache.one

gzip nginx brotli

2025-07-16Sécurité

Kubernetes API-Server avec plusieurs IdP (et Github Actions)

Cet article traite de l'intégration de plusieurs fournisseurs d'identité (IdP) dans le serveur API de Kubernetes, en mettant l'accent sur l'utilisation de GitHub Actions pour automatiser le processus. Il explore les défis et les solutions pour gérer l'authentification et l'autorisation des utilisateurs à travers différents IdP tout en s'assurant de la sécurité et de la performance des applications déployées sur Kubernetes.

une-tasse-de.cafe

api github actions kubernetes

2025-07-15Sécurité

🛡️ The Dark Side of Web Development: CSRF, XSS, SQL Injection, and CORS Attacks..!⚠️

Cet article traite des attaques web courantes, comme CSRF, XSS, injection SQL et CORS, que les développeurs Java doivent prendre en compte. Il explique ce que sont ces attaques, pourquoi elles sont importantes, fournit des exemples de code en Spring Boot pour les prévenir et prépare le lecteur à en discuter lors d'entretiens d'embauche. L'objectif est de sensibiliser les développeurs aux vulnérabilités sur le web et aux moyens de s'en protéger.

medium.com

spring boot sql java

2025-07-11Sécurité

We Thought Actuator Was Safe in Production — Until Google Indexed It

Un article qui raconte comment des données internes de métriques mémoire ont été accidentellement indexées par Google en raison d'un endpoint exposé d'une application Spring Boot. Cela a mis en lumière des risques de sécurité liés à des configurations internes sensibles qui ne devraient pas être accessibles publiquement. L'incident souligne l'importance d'une bonne gestion des secrets et des contrôles d'accès dans les applications en production.

medium.com

spring boot api jvm