"""
Les en-têtes CSP (content security policy : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ) permettent de spécifier quels contenus peuvent s’afficher/s’éxécuter dans votre machine.

Pour vulgariser à l’extrême (ne faites pas ça), ça permettrait à n’importe qui de poster du JS ou du CSS valide dans vos pages (par exemple dans un commentaire) et ce dernier sera bloqué si les en-têtes interdisent le JS inline, ou le CSS inline.
(faut pas le faire car tous les navigateurs ne supportent pas et il faut partir du principe que le navigateur du visiteur (voire le vôtre) n’a pas forcément ça d’activé).

Si j’ajoute cette en-tête CSP à une page :

    default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';

Cela autorisera par liste blanche :
– le contenu peu importe son type (default-src) en provenance de votre domaine ('self') seulement
– les images (img-src) en provenance de votre domaine (self), des liens data-uri (data:)
– les scripts (script-src) en provenance de votre domaine (self), ainsi que les script inline (unsafe-inline)
– les POST de formulaires (form-action) en provenance de votre domaine (self)

Tout le reste sera inutile, bloqué.

Avec ces règles, si vous mettez une image "src=https://example.com";, alors l’image ne chargera pas : bloqué par les règles CSP : seule une image sur votre site, et une image avec data-uri peuvent s’afficher.

Dans les outils de dév de Firefox, vous verrez afficher une alerte relative à CSP.

Le lien que je donne ici permet de tester vos règles CSP (copiez-y mon code ci-dessus, pour tester). Il décortique également tout ça pour y voir clair.

Enfin, si vous utilisez Apache, voilà comment on ajoute une entête dans un .htaccess :

# Extra Security Headers
<IfModule mod_headers.c>
Header set Content-Security-Policy "<regle csp>"
</IfModule>

Remplacez <regle csp> par votre règle, virez les « <> », mais laissez les quotes.

Comme ça :

# Extra Security Headers
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';"
</IfModule>
"""
(LHV)

J'avais alerté là-dessus en 2014. A priori ça ne choquait personne, et pire : les gens trouvaient ça normal.

https://famille-michon.fr/links/?eNitkg

Beaucoup de choses connues, mais ça reste une bonne checklist

Un VPN a priori plus simple à mettre en place qu'OpenVPN

Comment détecter, et que faire si un serveur linux est compromis

Une prise en main de l'outil Nftables, qui est une surcouche à Iptables permettant l'utilisation en espace utilisateur, et l'utilisation de concepts plus avancés.

Présentation (slides + audio) de principes généraux de sécurité pour un server.

"""OpenSnitch est une tentative de production d'un pare-feu applicatif libre (GPL3) pour les distributions de Linux."""

"""
Je note pour ne pas oublier: Si vous utilisez targer="_blank", toujours ajouter rel="noopener noreferrer"
Sinon l'URL appellée aura accès à la page d'origine.
"""
(SebSauvage)

Un outil pour Linux d'isolation de processus, basé sur les namespaces.
Peut être utile pour lancer des processus à risque ou peu respectueux de la vie privée (Skype, si tu me vois)