sécurité des webapps

Serveurs web Une partie des attaques web peuvent être bloquées en utilisant des mécanismes implémentés dans les navigateurs et activés du coté des serveurs web, reverse proxy (Nginx) ou certains CDNs (Akamai Cloudflare etc.) voir la liste par MDN. Dotnet Core l’ajout des en-têtes de sécurité se fait simplement grâce aux middlewares via context.Response.Headers.Add( )

Let’s Encrypt: les certificats SSL/TLS gratuits

Let’s Encrypt est une autorité de certification 🔐(CA en anglais) qui délivre plus de 50% des certificats SSL dans le monde et est gérée par l’ISRG qui est sponsorisé par quelques mastodontes du web tel que Mozilla, Akamai, Cisco, EFF.

Certbot

Let’s Encrypt présente la particularité de fournir gratuitement 🎉 un système automatisé de délivrance de certificats SSL (ou TLS), et pour cela l’ISRG a développé le protocole ACME  que l’on peut exploiter grâce au CLI Certbot (développé par l’EFF).

UFW un simple Firewall sous Linux

UFW Un firewall (pare-feu en 🇫🇷) permet de bloquer les tentatives d’accès à des combinaisons de ports/protocoles que nous définissons. Un firewall permet par exemple, de n’autoriser les connexions ssh que depuis certaines adresses IP. UFW a été conçu pour simplifier la mise en place d’un Firewall iptables sous Linux, qui est relativement complexe a configurer…