Cela signifie que si les propriétaires de sites Web ne modifient pas ces paramètres par défaut en modifiant le code source du CMS, la plupart des sites Web construits sur ces CMS mettent les mots de passe de l'utilisateur en danger si un pirate informatique volait la base de données du site.
Et comme la plupart des sites basés sur un CMS sont tenus par des personnes n'ayant aucun bagage technique, cela veut dire qu'une très large majorité d'entre eux stocke ses mots de passe de manière non sécurisé. C'est tout de même très problématique compte tenu qu'une très grande proportion de sites sont construits sur WordPress…
Par défaut, Nginx et PHP sont un peu bavard et signalent au client Web leurs versions exactes. Le problème est qu'il suffit ensuite d'une petite recherche pour visualiser les failles de sécurité existantes dessus.
Cette astuce permet de demander à Nginx et à PHP de ne pas envoyer leurs numéros de version respectifs.
Un outil sympa pour les développeurs Web. Il permet de générer des favicons pour toutes les plateformes, et fournit un outil permettant de vérifier que ces derniers sont bien en place.
Mine de rien, on penserait pas comme ça, que c'est aussi compliqué à gérer…
Utiliser un peu de ressource du visiteur pour miner de la cryptomonnaie me semble une idée intéressante en tant qu'alternative intéressante aux publicités, à partir du moment où cela est fait dans la limite du raisonnable.
Je pense pour ma part que cela ne devrait se faire que sous deux conditions :
- si l'utilisateur a donné son consentement (ou bien s'il ne s'est pas opposé à cette pratique, à voir) ;
- si le terminal est suffisamment puissant pour ce genre de chose.
À noter que nous sommes arrivés dans une ère où la plupart des visites sur le Web se font désormais sur un smartphone, donc gare à l'utilisation de la batterie…
C'est assez cocasse, comme faille !
Pas considéré comme une faille critique en soi, mais peut permettre de mener des attaques dans le but de piquer des données personnelles de l'internaute, ou même intercepter ses frappes au clavier sur une page Web.
Réponse des éditeurs des navigateurs principaux :
- Google : corrigée
- Apple : corrigée
- Mozilla : pas concerné par la faille
- Microsoft : osef, c'est pas un bug mais une fonctionnalité
Histoire de voir un peu autre chose que du Font Awesome sur le Web :)
Je suis un peu sceptique concernant cette décision : tous les sites n'ont pas forcément besoin d'être protégés par HTTPS. Je pense notamment aux petits sites perso qui ne contiennent que quelques pages Web contenant du texte et quelques images…
Dans un monde où 60% des internautes utilisent Chrome comme navigateur par défaut, c'est un choix qui me semble judicieux pour lutter contre les abus sur les publicités.
Bonus : vu que la fonction sera implémentée directement dans le navigateur, on sera peut-être débarrassés des boîtes de dialogues "Aidez-nous à survivre, désactivez AdBlock !".
Hmmm, intéressant… Si ce nouveau format est implémenté dans les lecteurs de flux, je proposerai probablement un système de flux dans ce format (tout en conservant le flux RSS classique, bien sûr, au moins le temps que la transition se fasse ^^)