Cette présentation aborde l'utilisation d'un reverse proxy de mise en cache pour améliorer les performances des API REST. Elle met l'accent sur les bonnes pratiques d'utilisation des instructions de cache HTTP, la gestion de l'invalidation du cache et l'utilisation de Edge Side Includes (ESI) pour le traitement des listes de résultats, offrant ainsi des conseils pratiques pour optimiser le temps de réponse des API.
Cet article explique le protocole Rack, qui normalise la communication entre les serveurs Rack, les applications Rack et les middleware. Il aborde la construction de serveurs, applications et middleware Rack en Ruby, en détaillant le processus de création d'une réponse HTTP et la gestion des sockets. L'article présente aussi un exemple de serveur HTTP simple et explique comment charger des applications Rack depuis des fichiers externes. Il s'adresse particulièrement aux développeurs souhaitant comprendre le fonctionnement interne de Rack.
Cet article aborde diverses techniques d'énumération de sous-domaines utilisées pour identifier la surface d'attaque d'un domaine. Il décrit des méthodes d'énumération passives et actives, telles que l'énumération manuelle, l'utilisation de moteurs de recherche, et le bruteforcing. Des outils comme 'puredns' et 'dnsx' sont mentionnés pour valider les sous-domaines. Des méthodes pour détecter les certificats de sécurité et utiliser des ressources en ligne pour obtenir des informations supplémentaires sur les sous-domaines sont également expliquées.
Les vulnérabilités de Remote File Inclusion (RFI) sont une menace majeure pour les applications web modernes, permettant à un attaquant d'inclure et d'exécuter du code malveillant hébergé sur un serveur distant. Cet article explique les principes des RFI, leurs impacts potentiels, des scénarios d'exploitation, ainsi que des conseils pour prévenir de telles vulnérabilités, en mettant l'accent sur la nécessité d'une validation rigoureuse des entrées utilisateur.
L'article explique comment une équipe a développé une 'Special Event Page' pour gérer le trafic lors de la compétition de football Euro 2024. Cette page permet aux utilisateurs d'accéder rapidement aux événements en direct sans surcharge pour les serveurs. Initialement mise en place en 2021, la solution a évolué pour inclure des améliorations, comme un système basé sur des cookies qui évite les appels backend lors des pics de trafic. Cela a aussi permis d'uniformiser l'accès sur différentes plateformes, y compris les applications mobiles, tout en minimisant les modifications nécessaires aux équipes frontend.
L'article aborde les défis de sécurité liés à l'IoT, mettant en évidence les vecteurs d'attaque potentiels tels que les interfaces web, les réseaux Wi-Fi, et les communications Bluetooth. Avec environ 15 milliards d'objets IoT en circulation, la nécessité de sécuriser ces dispositifs face à des vulnérabilités et des cyberattaques est essentielle. Les mesures de sécurité comme le chiffrement, la gestion rigoureuse des droits, et les tests de pénétration sont discutées pour limiter les risques associés à ces objets connectés.
Cet article aborde les vulnérabilités courantes dans les fonctionnalités de réinitialisation de mot de passe, telles que l'empoisonnement de l'en-tête Host et l'utilisation de jetons non expirant. Il décrit les mécanismes de réinitialisation de mot de passe, les erreurs potentielles et fournit des meilleures pratiques pour sécuriser cette fonction, comme la validation stricte des en-têtes ou l'utilisation de jetons uniques et temporaires.
Cet article discute des protocoles récents visant à permettre aux clients de recevoir des mises à jour sur des ressources HTTP, en se concentrant sur trois propositions : Mercure, Braid et PREP. Il explique les limitations de l'HTTP actuel concernant les communications en temps réel et la nécessité d'un standard permettant cette fonctionnalité. Braid, en particulier, est présenté comme une extension HTTP ambitieuse qui améliore la synchronisation d'état entre le serveur et le client, introduisant des mécanismes de gestion des versions et de patchs.
Cet article traite des redirections et de l'URL rewriting, en expliquant leurs utilisations pour changer d'adresse de pages, effectuer des statistiques ou gérer les dangers associés. Il présente les différents types de redirections (301, 302, 307) et leurs applications, ainsi que les principes techniques pour les mettre en œuvre, notamment via des headers ou le fichier .htaccess. Il met également en garde contre les abus de ces techniques.
