Bonnes Pratiques Web & Cloud
58.9K views | +1 today
Follow
Bonnes Pratiques Web & Cloud
Internet
Administration cloud et développement web
Curated by Mickael Ruau
Your new post is loading...
Your new post is loading...

Popular Tags

Current selected tag: 'https'. Clear
https 31
securite 18
lets encrypt 6
http 4
SSL 4
SEO - référencement naturel 3
debug 2
dns 2
ecommerce 2
TLS 2
ACME 1
Apache 1
api - web service 1
authentication 1
CRSF 1
CSP - Content Security Policy 1
formulaires 1
HSTS - HTTP Strict Transport Security 1
ietf 1
injection sql 1
nginx 1
outils 1
rfc 1
SNI - Encrypted Server Name Indication 1
SRI - SubResource Integrity 1
xss 1
Scooped by Mickael Ruau
Scoop.it!

Why I’m Using HTTP Basic Auth in 2022

Why I’m Using HTTP Basic Auth in 2022 | Bonnes Pratiques Web & Cloud | Scoop.it
From joeldare.com - January 20, 2022 2:21 AM
Some online resources mention that HTTP Basic Authentication is deprecated, but that’s a misunderstanding. Only passing username and password as part of the URL is deprecated. It’s still perfectly valid to pass the credentials in the HTTP header and that’s what I’ll be doing. This method works in every modern browser.

As an additional aside, modern browsers still support credentials in the URL, even though the practice is deprecated. To prevent certain fishing attacks, they hide those credentials from the user in various ways, but it tends to work anyway. I wouldn’t personally use credentials in the URL though; who knows how long browsers will continue to support that.

Because Basic Authentication sends the username and password with each HTTP request, it’s insecure unless the credentials are served over an encrypted HTTPS connection. These days HTTPS is the norm for many of our projects, but it’s something you need to be aware of. You don’t want to use this over a regular HTTP connection because anyone on the same network can see the unencrypted values. Because HTTPS requests are encrypted, this isn’t a problem over HTTPS.

I’ve created a template for a simple application that implements HTTP Basic Authentication in Go.

I’ve also created a template for a simple application that implements HTTP Basic Authentication in PHP.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

91,5% des malwares sont diffusés via des connexions chiffrées HTTPS selon un rapport WatchGuard ThreatLab

From www.programmez.com - October 4, 2021 5:00 AM

Corey Nachreiner, Chief Security Officer de WatchGuard commente : « Une grande partie du monde fonctionne encore largement dans un mode de travail mobile ou hybride, et malheureusement le périmètre traditionnel du réseau n'entre pas toujours en ligne de compte dans l'équation de la défense de la cybersécurité. Si une solide défense périmétrique reste un élément important d'une approche de sécurité en couches, une solide protection des endpoints (EPP) et une détection & réponse au niveau des endpoints (EDR) sont de plus en plus essentielles ».

Mickael Ruau's insight:

 

Parmi ses conclusions les plus notables, le rapport de WatchGuard en matière de sécurité Internet pour le deuxième trimestre 2021 révèle :

  • Des quantités massives de malware sont diffusées via des connexions chiffrées - Au deuxième trimestre, 91,5 % des logiciels malveillants sont propagés par une connexion chiffrée, ce qui représente une augmentation spectaculaire par rapport au trimestre précédent. En d'autres termes, toute organisation qui n'utilise pas le chiffrement HTTPS passe à côté de 9/10ème de tous les logiciels malveillants sur le périmètre.
  • Les logiciels malveillants utilisent des outils PowerShell pour contourner les protections, y compris les plus robustes - AMSI.Disable.A est apparu dans la section des malwares de WatchGuard pour la première fois au premier trimestre connaissant immédiatement une forte progression au cours du trimestre, atteignant la deuxième place de la liste en termes de volume et la première place pour l'ensemble des menaces chiffrées. Cette famille de malwares utilise des outils PowerShell pour exploiter diverses vulnérabilités de Windows. Mais ce qui la rend particulièrement intéressante, c'est sa technique d'évasion. WatchGuard a découvert que AMSI.Disable.A manie un code capable de désactiver l'interface d'analyse antimalware (AMSI) dans PowerShell, ce qui lui permet de contourner les contrôles de sécurité des scripts avec sa charge utile malveillante sans être détecté.
  • Les menaces sans fichier (fileless malwares) montent en flèche et deviennent encore plus évasives - Au cours des six premiers mois de l'année 2021, les détections de logiciels malveillants provenant de moteurs de script comme PowerShell ont déjà atteint 80 % du volume total des attaques initiées par script de l'année dernière, ce qui représente une augmentation substantielle par rapport à l'année précédente. Au rythme actuel, les détections de logiciels malveillants sans fichier en 2021 sont en passe de doubler en volume par rapport à l'année précédente.
  • Les attaques réseau sont en plein essor malgré le passage à une main d'œuvre travaillant principalement à distance - Les appliances WatchGuard ont détecté une augmentation substantielle des attaques réseau, qui ont augmenté de 22 % par rapport au trimestre précédent et ont atteint le volume le plus élevé depuis début 2018. Le premier trimestre a vu près de 4,1 millions d'attaques réseau. Au cours du trimestre suivant, ce nombre a encore bondi d'un million - traçant une trajectoire agressive qui souligne l'importance croissante du maintien de la sécurité du périmètre aux côtés des protections axées sur l'utilisateur.
  • Les attaques par ransomware reviennent en force - Alors que le nombre total de détections de ransomware sur les endpoints était en baisse de 2018 à 2020, cette tendance s'est interrompue au premier semestre 2021, le total semestriel ayant terminé juste à côté du total annuel de 2020. Si les détections quotidiennes de ransomware restent stables jusqu'à la fin de l'année 2021, le volume de cette année atteindra une augmentation de plus de 150 % par rapport à 2020.
  • Les attaques de ransomware de grande envergure éclipsent les attaques de type « shotgun blast ». La désormais célèbre attaque Colonial Pipeline a démontré que les cybercriminels ne se contentent pas de cibler les services les plus vitaux - tels que les hôpitaux ou encore les infrastructures industrielles critiques - mais qu’ils semblent également intensifier les attaques à l’encontre de très grandes entreprises. WatchGuard examine – à travers l’analyse des incidents - les retombées des attaques et ce que l'avenir réserve à la sécurité des infrastructures critiques ainsi que les mesures que les organisations de tous les secteurs peuvent prendre pour se défendre contre ces attaques et ralentir leur propagation.
  • Les anciens services continuent de s'avérer des cibles de choix - Contrairement à l'habitude d'une ou deux nouvelles signatures observées dans les rapports trimestriels précédents, quatre nouvelles signatures figuraient parmi les 10 principales attaques réseau de WatchGuard au deuxième trimestre. La plus récente est une vulnérabilité 2020 dans le langage de script Web PHP, mais les trois autres ne sont pas nouvelles du tout. Il s'agit d'une vulnérabilité Oracle GlassFish Server de 2011, d'une faille d'injection SQL de 2013 dans l'application de dossiers médicaux OpenEMR et d'une vulnérabilité d'exécution de code à distance (RCE) de 2017 dans Microsoft Edge. Bien que datées, toutes présentent encore des risques si elles ne sont pas corrigées.
  • Les menaces basées sur Microsoft Office restent populaires - Le deuxième trimestre a vu un nouvel ajout à la liste des 10 attaques réseau les plus répandues, et il a fait ses débuts tout en haut de la liste. La signature, 1133630, est la vulnérabilité RCE de 2017 mentionnée ci-dessus qui affecte les navigateurs Microsoft. Bien qu'il s'agisse d'un ancien exploit et qu’un correctif ait été mis en place, ceux qui n'ont pas encore appliqué de correctif risquent d'avoir un réveil brutal si un attaquant parvient à l'atteindre avant eux. En fait, une faille de sécurité RCE très similaire et de haute gravité, connue sous le nom de CVE-2021-40444, a fait les gros titres au début du mois lorsqu'elle a été activement exploitée dans le cadre d’attaques ciblées contre Microsoft Office et Office 365 sur des ordinateurs Windows 10. Les menaces basées sur Office restent populaires en matière de logiciels malveillants, c'est pourquoi WatchGuard continue de repérer des attaques de ce type. Heureusement, elles sont toujours détectées par les défenses IPS éprouvées.
  • Les domaines de phishing se font passer pour des domaines légitimes et largement reconnus - WatchGuard a observé une augmentation de l'utilisation de malwares ciblant récemment les serveurs Microsoft Exchange et les utilisateurs de messagerie générique pour télécharger des Trojan d'accès à distance (RAT) dans des lieux hautement sensibles. Il est conseillé d'être très attentif à la sécurité et de surveiller les communications sortantes sur les appareils qui ne sont pas nécessairement connectés directement aux appareils connectés.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

HTTPS Everywhere

HTTPS Everywhere | Bonnes Pratiques Web & Cloud | Scoop.it
From www.eff.org - September 10, 2020 4:09 AM
HTTPS Everywhere is a Firefox, Chrome, and Opera extension that encrypts your communications with many major websites, making your browsing more secure. Encrypt the web: Install HTTPS Everywhere today.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

27 des plus grosses erreurs SEO qui peuvent nuire à votre site web

From fr.semrush.com - June 9, 2020 4:48 AM

Ce guide vous offre une checklist complète d’audit de site. Elle vous aidera à procéder exactement comme un webmaster, peu importe la grandeur de votre site.

 

Comment avons-nous recueilli les données ?

Nous avons exploré 250 000 sites web de différentes niches, dont la santé, le voyage, les sports, la science, avec l’outil Audit de site de SEMrush afin de trouver les erreurs SEO les plus importantes qui les tirent vers le bas.

En tout, nous avons analysé :

  • 310 161 067 pages web

  • 28 561 137 301 liens

  • 6 910 489 415 images

Cette ampleur de l’analyse nous a donné suffisamment d’informations pour créer un modèle complet d’audit de site que les webmasters peuvent utiliser pour éviter de commettre ce type d’erreurs.

On ne peut pas échapper au fait qu’un audit de site proprement exécuté exige du temps.

Notre étude a révélé 27 erreurs communes qui ne peuvent pas être exposées toutes en mêmes temps, et c’est pourquoi nous avons divisé la liste en morceaux plus digestes, que vous pourrez utiliser comme modèles exploitables pour votre propre site. 

Mickael Ruau's insight:

 

 

Évaluez la performance de votre site

Créez un projet dans l'outil Audit de site

 

 

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Certbot 1.0 est enfin disponible – Vous n’avez plus d’excuses pour ne pas activer HTTPS sans douleur sur votre site –

Certbot 1.0 est enfin disponible – Vous n’avez plus d’excuses pour ne pas activer HTTPS sans douleur sur votre site – | Bonnes Pratiques Web & Cloud | Scoop.it
From korben.info - December 30, 2019 1:49 AM

Vous vous souvenez de mon merveilleux article sans nul égal au sujet de la mise en place d’un certificat SSL Let’s Encrypt à l’aide d’un formidable utilitaire baptisé Certbot ?

Oui, je suis sûr que vous le relisez religieusement au moins une fois par semaine. Et bien bonne nouvelle, l’EFF (Electronic Frontier Foundation) qui est à l’origine de cet outil vient de publier à l’instant la version 1.0 de Certbot.

Sorti initialement en 2015, cet outil libre et open source permet de déployer et mettre à jour les certificats des sites web très facilement. Plus de prise de chou, même pour le néophyte avec cet outil qui permet d’automatiser tout ça.

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Magecart – a malicious infrastructure for stealing payment details from online shops

From www.clearskysec.com - September 30, 2019 7:56 AM

Since March 2016, numerous credit cards and other details have been stolen during payment from dozens of online shops worldwide. Malicious JavaScript code acting as a form grabber or a simple “cloud based” keylogger was injected into breached shops. As buyers filled in their payment details, the data was captured and sent in real time to the attacker.

This means that the information got stolen even if the seller worked according to PCI standards and did not keep credit card details in a database after purchase completion. This method is different than other ways of stealing payment details, such as infecting the buyer’s computer, implanting malware in Point of Sale terminals, or dumping entire databases from breached online shops.

In this post we analyze the malicious code and other parts of the campaign. RiskIQ, who we collaborated with on the investigation, dubbed this campaign Magecart. In parallel to this post, they are publishing a report reviewing other parts of the malicious infrastructure and compromised websites.

Security company Sucuri revealed parts of this campaign back in July 30. Since, the attackers kept registering new domains and used them to host malicious JavaScript files, later injecting them into breached online shops.

Mickael Ruau's insight:

The malicious JavaScript code is served over HTTPS with a Valid SSL certificate. Using HTTPS is important for the attacker to keep its malicious activity undetected, because script loaded over HTTP would trigger a “mixed content” warning to the user.

below are some of the certificates used in the campaign

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Let’s Encrypt makes certs for almost 30% of web domains! RC4/3DES/TLS 1.0 are still used! Certs for hundreds of years! Analyzing hundreds of millions of SSL handshakes

Let’s Encrypt makes certs for almost 30% of web domains! RC4/3DES/TLS 1.0 are still used! Certs for hundreds of years! Analyzing hundreds of millions of SSL handshakes | Bonnes Pratiques Web & Cloud | Scoop.it
From www.leebutterman.com - September 10, 2019 5:50 AM
Looking at a dataset of 350 million ssl connections inspires some initial questions:
Mickael Ruau's insight:

Thousands of certs served expire after the year 3000

Over 3K certs served don’t expire this millenium. Over 8K certs expire after 2200. Over 200K certs expire after 2100. (Over 1.5M expire in the 2040s alone!)

Over a hundred thousand certs alone expire in 2117, and over a thousand expire in 3017. Perhaps something in 2017 inspired confidence in long-lived certs?

Millions of certs served have expired

Almost 1.6M domains had a cert that had recently expired (in July, the month of the scan). Almost 3.7M domains had a cert that expired in 2019 (the year of the scan). Over 9.6M domains had a cert that expired in the 2010s!

Hundreds of certs served are not yet valid

And what’s more, over a hundred thousand certs expire before their validity date!

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Comment activer les DNS chiffrés (DNS-over-HTTPS) dans Firefox ? –

Comment activer les DNS chiffrés (DNS-over-HTTPS) dans Firefox ? – | Bonnes Pratiques Web & Cloud | Scoop.it
From korben.info - July 20, 2019 3:41 AM
Je vous ai parlé des DNS chiffrés et de leur intérêt dans un article précédent, du coup pourquoi ne pas vous partager ce petit tuto trouvé sur Zdnet et dédié au navigateur Firefox. Le seul à gérer les DNS via HTTPS (DNS-over-HTTPS ou DoH) pour l’instant … mais pas par défaut. Il va donc falloir…
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Tour d’horizon sur HTTPS et les en-têtes de sécurité - Alsacreations

Tour d’horizon sur HTTPS et les en-têtes de sécurité - Alsacreations | Bonnes Pratiques Web & Cloud | Scoop.it
From www.alsacreations.com - February 20, 2019 5:01 AM

De nombreux et très bons outils comme Mozilla Observatory (qui en rassemble d’autres), Security Headers ou DareBoost testent et peuvent vous conseiller des améliorations, avec moult informations et explications fort bienvenues.

À noter, certaines de ces technologies sont encore plus efficaces ensemble, et peuvent même travailler de concert (notamment CSP et SRI, etc.).

Mickael Ruau's insight:

Comme vous avez pu le voir lors de ce long tutoriel, certains points sont très simples à mettre en production et peuvent déjà se mettre au service de vos utilisateurs et/ou de vos sites, ne vous gênez pas pour commencer !

Voici quelques ressources :

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

mkcert: valid HTTPS certificates for localhost

mkcert: valid HTTPS certificates for localhost | Bonnes Pratiques Web & Cloud | Scoop.it
From blog.filippo.io - January 11, 2019 4:13 AM
The web is moving to HTTPS, preventing network attackers from observing or injecting page contents. But HTTPS needs TLS certificates, and while deployment is increasingly a solved issue thanks to the ACME protocol and Let's Encrypt, development still mostly ends up happening over HTTP because no one can get an
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat

Let's Encrypt annonce la disponibilité des certificats génériques, pour faciliter la gestion des sous-domaines avec un seul certificat | Bonnes Pratiques Web & Cloud | Scoop.it
From www.developpez.com - March 18, 2018 5:23 AM

Avec le nombre élevé d’attaques informatiques ciblant les sites web sur la toile, il n’est nul besoin de rappeler que l’un des moyens essentiels de prévention contre ces piratages demeure l’adoption des mesures de sécurité comme le chiffrement des sites web.Let’s Encrypt, l’autorité de certification qui a lancé ses services publics en 2015, offre des outils dans ce sens avec la mise à disposition de moyens automatisés pour l’installation et le renouvellement de certificats gratuits

more...
No comment yet.
Sign up to comment
Rescooped by Mickael Ruau from GOOGLE TOOLS
Scoop.it!

Chrome 62 : les sites HTTP non sécurisés désormais détectés

Chrome 62 : les sites HTTP non sécurisés désormais détectés | Bonnes Pratiques Web & Cloud | Scoop.it
From www-informanews-net.cdn.ampproject.org - November 5, 2017 5:24 AM

Via Jean-Baptiste Rouillac
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

How to Deploy HTTPS Correctly

How to Deploy HTTPS Correctly | Bonnes Pratiques Web & Cloud | Scoop.it
From www.eff.org - August 24, 2017 9:06 AM

By Chris Palmer and Yan ZhuOriginally published on 15 Nov 2010. Most recent update: 9 Feb 2017.Internet technologists have always known that HTTP is insecure, causing many risks to users. Because HTTP traffic is unencrypted, any data sent over HTTP can be read

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Recommandations de sécurité relatives à TLS | Agence nationale de la sécurité des systèmes d'information

Recommandations de sécurité relatives à TLS | Agence nationale de la sécurité des systèmes d'information | Bonnes Pratiques Web & Cloud | Scoop.it
From www.ssi.gouv.fr - October 14, 2021 7:24 AM
L’ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique de la Nation.
Mickael Ruau's insight:

 

Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et à la messagerie électronique. Il s’agit par ailleurs d’une solution privilégiée pour la protection de flux d’infrastructure internes. Pour ces raisons, le protocole et ses implémentations font l’objet d’un travail de recherche conséquent. Au fil des années, plusieurs vulnérabilités ont été découvertes, motivant le développement de corrections et de contre-mesures pour prévenir la compromission des échanges.

Le déploiement TLS apportant le plus d’assurance en matière de sécurité repose donc sur l’utilisation de logiciels mis à jour, mais aussi sur l’ajustement des paramètres du protocole en fonction du contexte. Les explications apportées par le présent guide sont complétées par plusieurs recommandations visant à atteindre un niveau de sécurité conforme à l’état de l’art, notamment au sujet des suites cryptographiques à retenir.

 

  • pdf

    Recommandations de sécurité relatives à TLS - v1.2

    441.28 Ko

  • pdf

    Guide TLS - v1.1 - obsolète

    432.64 Ko

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Traefik v2 HTTPS (SSL) en localhost • Billets •

From zestedesavoir.com - September 29, 2020 5:29 AM
Site et association de partage de connaissances animé par sa communauté. Vous y trouverez des tutoriels et des articles de tous niveaux et des forums.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Certbot

From certbot.eff.org - September 10, 2020 4:07 AM
Automatically enable HTTPS on your website with EFF's Certbot, deploying Let's Encrypt certificates.
Mickael Ruau's insight:

Find out if your hosting provider has HTTPS built in — no Certbot needed.

See the list of providers

Or, run Certbot once to automatically get free HTTPS certificates forever.

Get Certbot instructions
 
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

BD – Le HTTPS | OCTO Talks !

BD – Le HTTPS | OCTO Talks ! | Bonnes Pratiques Web & Cloud | Scoop.it
From blog.octo.com - May 22, 2020 10:35 AM

Pour aller plus loin :

 
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

PKI (Public Key Infrastructure)

PKI (Public Key Infrastructure) | Bonnes Pratiques Web & Cloud | Scoop.it
From www.securiteinfo.com - December 3, 2019 11:20 AM
PKI : Infrastructure à clés publiques
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

TLS Everywhere, not https: URIs - Design Issues

From www.w3.org - September 11, 2019 5:10 AM

Tim Berners-Lee
Date: 2015-02-15, last change: $Date: 2015/03/28 20:46:47 $
Status: personal view only. This is not a formal W3C director view, nor view of the TAG or the Consortium as a whole. It is a contribution to the discussion. This has been discussed in the TAG on a number of occasions.

Mickael Ruau's insight:

 

The HTTP protocol can and by default is upgraded to use TLS without having to use a different URI prefix. The https: prefix could even in fact be phased out, and instead user education focussed on understanding the level of assurance being given about the level of security, including authentication of the other party, encryption of the communication, and the anonymity, traceability, or strong authentication of the user to the other party.

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

ESNI & DNS over HTTPS will change networking — here is why.

From medium.com - July 22, 2019 3:40 AM

Two weeks ago, Apple, Cloudflare, Firefox, and Fastly, quietly implemented and published ESNI (Encrypted Server Name Indication). Discussions at public mailing lists indicate that very few people…

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

The ACME Protocol is an IETF Standard - Let's Encrypt - Free SSL/TLS Certificates

From letsencrypt.org - April 2, 2019 9:13 AM

It has long been a dream of ours for there to be a standardized protocol for certificate issuance and management. That dream has become a reality now that the IETF has standardized the ACME protocol as RFC 8555. I’d like to thank everyone involved in that effort, including Let’s Encrypt staff and other IETF contributors.

 

Having a standardized protocol for certificate issuance and management is important for two reasons. First, it improves the quality of the software ecosystem because developers can focus on developing great software for a single protocol, instead of having many pieces of less well maintained software for bespoke APIs.

Mickael Ruau's insight:

We consider the standardized version of the ACME protocol to be the second major version of ACME, so we refer to it as ACMEv2. The first version, which we call ACMEv1, is the version of ACME that Let’s Encrypt has used since our launch in 2015. Now that ACMEv2 is standardized, we are announcing an end-of-life plan for our ACMEv1 support.

Let’s Encrypt is currently providing certificates for more than 150 million websites. We look forward to being able to serve even more websites as efforts like this make deploying HTTPS with Let’s Encrypt even easier. If you’re as excited about the potential for a 100% HTTPS Web as we are, please consider getting involvedmaking a donation, or sponsoring Let’s Encrypt.

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Nicolas Karolak — c'est mon blog, je fais ce que je veux

From blog.karolak.fr - February 5, 2019 4:46 AM
Depuis la version 1.15.2, NGINX a ajouté une fonctionnalité qui permet de faire une distinction entre un flux HTTPS et un autre flux TCP arrivant sur un même port. Ça permet par exemple de faire tourner en même temps sur le port 443 un service Web en HTTPS et un service VPN ou SSH. Et ainsi passer outre certains pare-feux restrictif qui ne laissent pas passer certains flux (Git, SSH, DNS personnalisé).
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Envoyer et extraire les données des formulaires - Guides pour développeurs Web | MDN

Envoyer et extraire les données des formulaires - Guides pour développeurs Web | MDN | Bonnes Pratiques Web & Cloud | Scoop.it
From developer.mozilla.org - December 6, 2018 8:05 AM
Cet article examine ce qui arrive quand un utilisateur soumet un formulaire — où les données vont-elles et comment les gère-t-on une fois à destination ? Nous examinerons aussi quelques problèmes de sécurité associés à l'envoi des données d'un formulaire.
Mickael Ruau's insight:

Note : Il est possible de spécifier une URL qui utilise le protocole HTTPS (HTTP sécurisé). Quand vous faites ceci, les données sont chiffrées avec le reste de la requête, même si le formulaire lui-même est hébergé dans une page non sécurisée à laquelle on accède via HTTP. D'autre part, si le formulaire est hébergé sur une page sécurisée mais qu'on spécifique une URL non sécurisée avec l'attribut action, tous les navigateurs affichent une alerte de sécurité pour l'utilisateur chaque fois qu'il envoie des données car celles-ci ne sont pas chiffrées.

more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Fiabiliser les connexions sécurisées avec HSTS (HTTP Strict Transport Security) | Blog DareBoost

Fiabiliser les connexions sécurisées avec HSTS (HTTP Strict Transport Security) | Blog DareBoost | Bonnes Pratiques Web & Cloud | Scoop.it
From blog.dareboost.com - December 28, 2017 12:46 AM
Offrir une alternative HTTPS de votre site ne suffit pas à automatiquement sécuriser les échanges avec vos visiteurs. Découvrez HSTS, une méthode pour sécuriser les accès à vos domaines… dès la première connexion.
more...
No comment yet.
Sign up to comment
Scooped by Mickael Ruau
Scoop.it!

Certificat Let'S Encrypt : le server Apache supportera bientôt le protocole ACME

From www.programmez.com - October 20, 2017 7:37 AM
L'autorité de certification Let's Encrypt annonce que le très populaire server HTTP Apache supportera bientôt le protocole ACME.
more...
No comment yet.
Sign up to comment
About Follow us Resources Terms Mobile Features
Facebook
X
LinkedIn