Logstash pour les devs - 24 - Sécurité Logstash : SSL, auth et secrets
Chiffrer les communications, authentifier les connexions et gerer les secrets dans Logstash.
Articles : sécurité
55 articles sur le thème "sécurité".
Attaque supply chain sur Trivy : 1 000 environnements cloud compromis
Le scanner de vulnérabilités Trivy a été compromis par une attaque supply chain. Comment ça s'est passé, ce que ça implique, et comment protéger vos pipelines CI/CD.
Regex - 14 - Performance et sécurité
Comprendre le backtracking catastrophique, les attaques ReDoS et comment écrire des regex performantes et sures.
Docker pour les devs - 23 - Sécurité des conteneurs
Utilisateur non-root, images minimales, scan de vulnérabilités, filesystem read-only et gestion des secrets.
HTTP en profondeur - 13 - CORS : les requêtes cross-origin demystifiees
Same-origin policy, preflight, Access-Control-Allow-Origin et tous les headers CORS expliques avec les erreurs courantes et leurs solutions.
Linux pour les devs - 04 - Utilisateurs, groupes et sudo
Gerer les utilisateurs et groupes sous Linux, comprendre sudo et pourquoi tu ne dois jamais bosser en root.
Linux pour les devs - 03 - Permissions et droits d'acces
Comprendre rwx, chmod, chown et les permissions Linux pour ne plus jamais avoir peur de 'permission denied'.
REST API design - 12 - CORS : comprendre et debugger les erreurs cross-origin
Same-origin policy, preflight requests, Access-Control-Allow-Origin : tout ce que tu dois savoir pour que ton front parle a ton API.
Linux pour les devs - 12 - SSH : l'acces distant sécurisé
Cles SSH, config, tunnels, rsync et bonnes pratiques : tout pour se connecter a ses serveurs sans friction.
REST API design - 23 - Sécurité : les attaques que tu vas subir (et comment t'en protéger)
Input sanitization, SQL injection, mass assignment, limites de taille, HTTPS, security headers et OWASP API Top 10.
HTTP en profondeur - 07 - Les cookies
Tout sur les cookies HTTP : Set-Cookie, attributs de sécurité, SameSite, third-party cookies et limites.
HTTP en profondeur - 19 - Security headers : CSP, HSTS et compagnie
Les headers de sécurité HTTP essentiels : CSP, HSTS, X-Frame-Options, helmet.js et les outils pour vérifier.
REST API design - 21 - Webhooks : quand c'est ton API qui appelle
HTTP callbacks, retry stratégies, signatures HMAC-SHA256, idempotence, dead letter queues et l'exemple Stripe.
Linux pour les devs - 20 - Securiser un serveur Linux
fail2ban, SSH, pare-feu, rkhunter et lynis : les bases pour sécuriser un serveur Linux.
HTTP en profondeur - 09 - TLS et HTTPS : chiffrer le web
Comment TLS sécurisé HTTP, la différence entre TLS 1.2 et 1.3, les certificats, Let's Encrypt et HSTS.
Linux pour les devs - 11 - Le firewall : contrôler qui entre et qui sort
ufw et iptables : configurer un firewall Linux pour protéger tes services sans te couper l'acces SSH.
REST API design - 13 - Rate limiting : protéger ton API sans frustrer tes clients
Token bucket, sliding window, headers X-RateLimit-*, Redis et 429 Too Many Requests : tout pour implementer un rate limiting efficace.
HTTP en profondeur - 12 - L'authentification HTTP : prouver qui tu es
Basic, Bearer, Digest, clés API : les mecanismes d'authentification HTTP avec leurs forces et leurs faiblesses.
TypeScript le système de types - 01 - any, unknown, never : le trio que personne ne comprend
Comprendre les différences entre any, unknown et never en TypeScript. Quand les utiliser, quand les éviter, et pourquoi any est un poison silencieux.
Docker pour les devs - 14 - Variables d'environnement et secrets
ENV, ARG, env_file, .env, Docker secrets : tout ce qu'il faut savoir pour configurer tes conteneurs sans exposer tes secrets.
Docker pour les devs - 15 - Permissions et utilisateurs
Root par défaut, instruction USER, UID/GID, le cauchemar des bind mounts et comment faire tourner tes conteneurs en non-root.
Cles, chiffrement et authentification - 05 - TLS, HTTPS et certificats : comment ca marche
Le fonctionnement de TLS et HTTPS demystifie. Certificate authorities, Let's Encrypt, et ce qui se passe quand tu tapes https://.
Gestion des secrets - 01 - Les 7 problèmes des secrets en .env
Les 7 vrais problèmes des fichiers .env : pas de rotation, pas d'audit, pas de chiffrement, partage risque et plus.
SQL avance et PostgreSQL - 06 - Transactions et ACID : garantir l'intégrité
Les transactions SQL et les propriétés ACID. BEGIN, COMMIT, ROLLBACK, isolation levels et les pièges de la concurrence.
Cles, chiffrement et authentification - 07 - Glossaire complet
Tous les termes de cryptographie et sécurité expliques : AES, RSA, Ed25519, SSH, GPG, TLS, HMAC, salt, hash, et plus.
Gestion des secrets - 04 - AWS Secrets Manager et ses alternatives
AWS Secrets Manager, SSM Parameter Store et les alternatives cloud. Setup, rotation automatique et intégration.
Authentification et sécurité web - 00 - Authentification vs autorisation
La différence entre authentification et autorisation. Deux concepts que les juniors confondent tout le temps.
Gestion des secrets - 02 - Les solutions : du .env au vault manager
L'échelle des solutions pour gerer ses secrets : .env chiffre, variables CI/CD, vaults cloud et HashiCorp Vault.
Gestion des secrets - 03 - Google Secret Manager : le guide pratique
Utiliser Google Secret Manager pour stocker et acceder a tes secrets. Setup, API, rotation et intégration avec Docker.
Gestion des secrets - 00 - Pourquoi ton .env finira par te trahir
Pourquoi les fichiers .env ne suffisent pas. Les vrais risques des secrets mal geres et ce que les vault managers resolvent.
Gestion des secrets - 05 - HashiCorp Vault : le couteau suisse du secret management
HashiCorp Vault pour les devs : installation, premiers secrets, politiques d'acces et intégration avec Docker et CI/CD.
Gestion des secrets - 06 - SOPS + age : chiffrer ses secrets dans git
Chiffrer ses fichiers de secrets avec SOPS et age. Les secrets dans git, mais chiffres. Simple, efficace, pas cher.
Authentification et sécurité web - 07 - XSS, CSRF, injection : les failles classiques
Les failles de sécurité web que tout dev doit connaître. XSS, CSRF, injection SQL et comment s'en protéger.
Authentification et sécurité web - 04 - Refresh tokens : garder l'utilisateur connecte
Les refresh tokens pour renouveler les access tokens sans redemander le mot de passe. Rotation, stockage et sécurité.
Héberger son serveur mail - 04 - SSL avec Caddy : partager les certificats Let's Encrypt
Partager les certificats Let's Encrypt de Caddy avec docker-mailserver. Configuration SSL sans duplication ni certbot.
Héberger son serveur mail - 07 - Glossaire complet
Tous les termes du monde de l'email expliques : SMTP, IMAP, DKIM, SPF, DMARC, MX, PTR, MTA, MDA et plus. Avec des exemples concrets.
CDN et performance web - 02 - Configurer Cloudflare devant ton site
Mettre Cloudflare devant ton site en 15 minutes. DNS, proxy, SSL, page rules et premiers reglages de performance.
CDN et performance web - 04 - La sécurité offerte par un CDN : DDoS, WAF et bot protection
Comment Cloudflare protégé ton site : DDoS mitigation, WAF, bot détection, rate limiting et protection de l'origine.
Authentification et sécurité web - 01 - Sessions et cookies : le modèle classique
L'authentification par session et cookie. HttpOnly, Secure, SameSite et pourquoi c'est toujours le meilleur choix pour la plupart des apps.
Authentification et sécurité web - 05 - Hashing de mots de passe : bcrypt, argon2 et pourquoi pas SHA-256
Pourquoi on hash les mots de passe et pourquoi SHA-256 n'est pas la bonne réponse. bcrypt, argon2 et le facteur de coût.
Cles, chiffrement et authentification - 01 - Chiffrement symetrique vs asymetrique
La différence entre chiffrement symetrique et asymetrique, expliquee simplement. AES, RSA, Ed25519 et pourquoi ca compte pour toi.
Authentification et sécurité web - 03 - OAuth2 : les flows expliques sans jargon
OAuth2 demystifie : Authorization Code, PKCE, Client Credentials. Les flows expliques avec des schemas concrets.
Cles, chiffrement et authentification - 02 - Les clés SSH de A a Z
Generer, configurer et gerer tes clés SSH. Ed25519, ssh-agent, config, multi-clés et bonnes pratiques pour les devs.
Gestion des secrets - 09 - Glossaire
Tous les termes de la gestion des secrets : vault, rotation, chiffrement at rest, IAM, SOPS, et plus.
Cles, chiffrement et authentification - 03 - GPG : signer, chiffrer, prouver son identité
Comprendre et utiliser GPG : génération de clés, signature de fichiers, chiffrement de messages. Guide pratique pour développeurs.
Héberger son serveur mail - 01 - Les records DNS : MX, SPF, DKIM et DMARC
Configurer les records DNS pour un serveur mail : MX, SPF, DKIM, DMARC. Chaque record explique avec sa syntaxe exacte.
Authentification et sécurité web - 02 - JWT : comment ca marche et quand l'utiliser
Les JSON Web Tokens expliques : structure, signature, quand les utiliser et surtout quand NE PAS les utiliser.
Gestion des secrets - 08 - Rotation des secrets : comment ne rien casser
Faire tourner ses secrets sans downtime. La stratégie dual-key, les procedures et l'automatisation de la rotation.
Authentification et sécurité web - 06 - RBAC : rôles, permissions et middleware
Implementer un système de rôles et permissions en TypeScript. RBAC, middleware et les erreurs classiques.
Cles, chiffrement et authentification - 04 - Signer ses commits Git (GPG et SSH)
Comment signer tes commits Git avec GPG ou SSH. Configuration, vérification et pourquoi le badge Verified compte.
SQL avance et PostgreSQL - 14 - Sécurité : rôles, permissions et Row Level Security
Securiser PostgreSQL : rôles, GRANT/REVOKE, schemas, Row Level Security et les bonnes pratiques d'acces.
Cles, chiffrement et authentification - 00 - Pourquoi chaque dev devrait comprendre la crypto
Pourquoi la cryptographie concerne tous les développeurs. Introduction a une serie sur les clés SSH, GPG, TLS et la sécurité au quotidien.
Authentification et sécurité web - 08 - Glossaire
Tous les termes de l'authentification et la sécurité web : OAuth2, JWT, RBAC, XSS, CSRF, bcrypt et plus.
Cles, chiffrement et authentification - 06 - Gerer ses clés : rotation, backup et hardware keys
Bonnes pratiques de gestion des clés : rotation, sauvegarde, passphrases, et clés materielles (YubiKey). Guide pratique pour ne jamais se faire pieger.
Gestion des secrets - 07 - Secrets dans CI/CD : GitLab, GitHub et les bonnes pratiques
Injecter des secrets dans tes pipelines CI/CD. Variables GitLab, GitHub secrets, masquage et bonnes pratiques.