Stéphane BortzmeyerBonjour, Paris ! Aujourd'hui, c'est #ParisWeb.
Agnès Haasser en ligne « Tempête de boulettes géantes » les pires moments de la vie d'un·e développeu·r·se. #ParisWeb
Boulette = erreur humaine ayant des conséquences sur la prod'
Exemple vouloir supprimer une donnée, et oublier son ID à la fin de l'URL, menant à supprimer toutes les données. #REST #ElasticSearch #ParisWeb
Les solutions anti-boulettes : pas de déploiement manuel, tout automatiser. Pas de procédures écrites « si vous faites X, pensez à faire Y » #ParisWeb
Poule sur l'écran ! #ParisWeb @LaurentChemla
Toujours être deux pour toucher à la prod', un qui fait et un canard en plastique, à qui on explique et qui surveille. #ParisWeb https://fr.wikipedia.org/wiki/Canard_en_plastique
Plein de blagues qui feraient honte à @Keltounet « discuter avec un canard, c'est chouette » #ParisWeb
« Les choses dangereuses doivent être compliquées et pénibles à faire » (management par la flemme, car les développeurs sont paresseux). #ParisWeb
Bon, Agnès spoile complètement ma conf' de demain, elle dit tout ce que je voulais dire (mais en mieux). #ParisWeb
Très bonne pratique : documenter tous les incidents de prod' (RetEx). En plus, les développeurs détestent documenter, donc ça les motive pour ne pas faire d'incident) #ParisWeb #boulettes
« Il faut aussi penser au positif » Ah, on voit qu'on est à #ParisWeb bienveillance, positivisme, licornes et bisounours.
Now, April Kink, in english, about the history of Web security. #ParisWeb
I can write the executive summary: "in the past, the Web was insecure. Now it is insecure."
HTTPS appeared in 1995, that's a long time ago. I completely forgot there was an (unsuccessful) Microsoft competitor: PCT. #ParisWeb
To deal with the insecure Certificate Authorities, HPKP (complicated, and its easy to make a a mistake) and Certificate Transparency https://crt.sh/ #ParisWeb #PKIX #X509
"With Let's Encrypt, you never have to worry about the risk of certificate expiration" #wishfulThinking #ParisWeb
"Content Security Policy is hard to do because Web sites are complex, cannot track what they use, and load a lot of Javascript [ads for instance] which also load code" And then technical solutions instead of asking "do we really want to support this use case?" #ParisWeb
Subresource integrity: when you load JavaScript from a third-party Web site (like British Airways did when they were cracked), you can specify a hash of the code, and it will be checked by the browser. (Of course, this is quite static, if the script changes, it won't work anymore). #securityVsConvenience #ParisWeb
And don't forget to test your Web site: https://observatory.mozilla.org/ #ParisWeb
See https://observatory.mozilla.org/analyze/www.bortzmeyer.org https://observatory.mozilla.org/analyze/www.paris-web.fr
John Shaft (ジョン・シャフト) ✅@bortzmeyer En parlant de CSP, celle de l'observatoire Mozilla est pas mal 🤔
https://observatory.mozilla.org/analyze/observatory.mozilla.org
Ollivier Robert 🇺🇦😷🌈@Shaft @bortzmeyer ils sont bons :)
Je suis B+, c'est ma CSP avec des styles inlines qui me met dedans…
@Keltounet @Shaft Moi, je suis nul (F), j'arrête le digital.
@bortzmeyer @Shaft c'est vrai qu'à lire securityheaders.io ça fait mal. C'est pas compliqué à corriger par contre :)
@Keltounet @Shaft Mais est-ce utile, pour un site sans cookie, sans Javascript, et presque entièrement statique ? #flemme
@bortzmeyer @Shaft c'est justement tellement facile dans ton cas que je ne vois aucune raison de ne pas le faire. ça fait 5 lignes dans mon nginx.conf…
@Keltounet @Shaft % ls nginx.conf
ls: cannot access 'nginx.conf': No such file or directory
"OK, Google, could you secure my Web site?"
@bortzmeyer @Shaft ça doit faire 10 lignes chez M. Apache hein :)
@Keltounet @bortzmeyer Du coup, l'observatoire de Mozilla me dit qu'il en manque (genre 'frame-ancestors'), vais rajouter ça ce soir (et trouver des sources pour une veille là dessus 🤔)
@Shaft @Keltounet Moi, j'ai juste wget --server-response --output-document /dev/null https://blog.keltia.net/ >> apache.conf && systemctl configure-correctly apache