Le parcours du combattant de ce webmaster pour faire retirer son site des listes de blocage (Google Safe Browsing, BitDefender, Fortinet, etc.).

"Microsoft president Brad Smith testified about this to Congress, and promised that the company would henceforth prioritize security over gimmicks like AI"

Moins de deux ans après, on a vu ce qu'est devenue leur promesse...

Les NFT sont morts depuis longtemps certes, mais cet article très complet garde son intérêt car s'étend aux problématiques posées par les blockchains et les cryptomonnaies.

Petit tutoriel pour comprendre l'entête des emails.

Faire de l'inspection du trafic chiffré, donc casser TLS pour écouter ce qu'il se passe et filtrer, notamment en entreprises, c'est faire du MITM, tout simplement.

C'est plutôt malin, il fallait y penser.

Windows 10 arrive en fin de support dans moins de deux mois, est-ce qu'il faut cesser de l'utiliser dès le premier jour hors-support ? Dans le cas contraire, que peut-on faire pour en améliorer la sécurité si on souhaite le garder encore un moment ?

Un guide de sécurisation et de maximisation de la vie privée sur Android, tout en gardant un équilibre entre utilisabilité du système et protection trop contraignante à l'usage.

Il n'est pas toujours aisé de s'y retrouver dans les ROM pour Android entre GrapheneOS, /e/, LineageOS, etc. Ce comparatif permet d'y voir plus clair en matière de vie privée, de sécurité et d'autres critères.

Sans surprise pour ma part, GrapheneOS se hisse au-dessus du lot (cf. liens partagés par le passé dans mon Shaarli). Mais il ne supporte que les Google Pixel, alors si vous avez un smartphone d'une autre marque, il faudra partir sur une autre ROM.

Le même auteur a publié d'autres comparatifs, en entête de la page.

Une critique plutôt sensée des passkeys.

Via SebSauvage.

Lorsque votre certificat SSL est compromis (par exemple parce que sa clé privée a été volée), vous pouvez le révoquer, c'est-à-dire le signaler comme étant invalide et plus digne de confiance.

Mais comment le navigateur sait-il qu'un certificat est révoqué, car ce n'est pas une information que celui-ci contient ? Deux mécanismes existent : CRL et OCSP.

Cet article les présente ainsi que les problématiques liées.

ÉDIT : OCSP a depuis été déprécié en faveur de CRL : https://www.abetterinternet.org/post/replacing-ocsp-with-crls/

Lorsque vous achetez un certificat SSL, il n'est pas rare que des garanties, des assurances, soient proposées pour couvrir certains dommages pouvant résulter de mauvais usages. Quels usages ? Est-ce que ces assurances servent vraiment à quelque chose ?

Un guide de Mozilla sur les pratiques de sécurité à appliquer sur les sites Web.

Un autre du site genre.

Une page pour tester les entêtes HTTP relatives à la sécurité.