Comments on: Le bulletin sécu : https pour 0bin et leak de mots de passe http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/ Du code, du cul Mon, 28 Oct 2019 11:54:55 +0000 hourly 1 https://wordpress.org/?v=4.9.7 By: Sam http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174833 Mon, 25 Jan 2016 14:28:02 +0000 http://sametmax.com/?p=17638#comment-174833 Et quand cloudflare tombe, ton site tombe. Quand cloudflare decide de ban un user ou un pays pour des raisons politiques, il n’y a plus accès. Si quelqu’un demande à cloudflare un takedown ton site tombe et c’est bien galère pour recupérer le droits dessus. Bref, tu mets tes couilles dans les mains d’une société largement incluencée par des interêts commerciaux, politiques, et qui est une boîte noire.

]]>
By: Atala http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174827 Mon, 25 Jan 2016 13:20:32 +0000 http://sametmax.com/?p=17638#comment-174827 Pardon, cela ne fait pas trop argumenté. Avec les pages rules de cloudflare tu peux faire un cache complet de toutes tes pages (‘Cache everything’). Et tu évites toutes les galères d’install, upgrade, etc.

On avait un wordpress sous l’au qui a été sauvé grâce à ça ;)

]]>
By: Atala http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174826 Mon, 25 Jan 2016 13:14:35 +0000 http://sametmax.com/?p=17638#comment-174826 Peut-être essayer https://www.cloudflare.com/ ?

]]>
By: jack of all trades http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174237 Fri, 15 Jan 2016 09:07:02 +0000 http://sametmax.com/?p=17638#comment-174237 @Sam : la plupart du temps le goulet d’étranglement d’un serveur web se situe lors de l’exécution du code php via php-fpm. Même en activant opcache ce php-fpm comsomme pas mal de ressources. Lorsque l’on utilise un plugin de cache il faut trouver le moyen pour que nginx serve directement ce qui a été mis en cache sans que le plugin utilise le core wordpress pour fournir à Nginx les fichiers du cache. Dans ce cas Nginx est utilisé pour sa veritable fonction c’est à dire servir directement des pages statiques à une vitesse effrante sans surconsommation de ressources.

Par exemple wprocket utilise cette stratégie par défaut avec Apache (ce qui déchire avec la version 2.4), il est également possible d’appliquer cette stratégie avec nginx en utilisant une configuration décrite par Maxime Jobin sur github. Pour l’avoir testé, je peux dire que cette configuration fonctionne bien.

A mon sens, l’avantage d’un plugin de cache réside dans les options permettant de générer les fichiers de pages statiques: minification du css, js, lazyload, etc..

]]>
By: Sam http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174148 Thu, 14 Jan 2016 14:57:03 +0000 http://sametmax.com/?p=17638#comment-174148 @jack of all trades : malheureusement ce n’est pas si simple.

D’abord, varnish a des performances largement supérieurs à tout plugin de cache WP (on en a essayé 4).

Ensuite il est en front de S&M mais aussi de IE.

Enfin, le cache est là pour pallier le nombres aberrants de requêtes lentes que font ces outils pour chaque page et soulager le serveur, non pas pour que le blog se charge plus vite côté client. La taille des images n’a aucun impact là dessus, d’ailleurs notre config varnish les bypass il me semble.

Mais admettons que nous souhaitions réduire la taille de la page des articles (qui fait en tout un putain de 2Mo O_o), nous avons très peu de contrôle. Le CSS + JS + HTML pèse le 1,9 Mo. Sur cette page. Pour un simple article. WP et son écosystème (plugin, thêmes, etc) sont des gros balourds bordéliques et infléxibles.

]]>
By: jobarjo http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174120 Thu, 14 Jan 2016 10:31:06 +0000 http://sametmax.com/?p=17638#comment-174120 Bonjour

Pourquoi le cache de nginx n’est pas suffisant?

J’ai lu que le purge de nginx n’est pas top, mais il existe des modules pour ca.

]]>
By: jack of all trades http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-174104 Thu, 14 Jan 2016 08:39:38 +0000 http://sametmax.com/?p=17638#comment-174104 Salut,

Tu pourrais te passer de varnish, surtout avec nginx mais pour celà un système de cache inhérent à wordpress serait nécessaire (W3 total cache, wp rocket, etc…). Une légère optimisation de ton site serait bien aussi, en commençant par la taille des images. Je suis allé me pendre en voyant la taille de l’image sur la page catégorie de ton article On a tenté de nous hacker 0bin —> 654,96 kb , c’est vraiment énorme pour l’affichage d’une miniature, sans parler des gif mais si tu aimes les animations :)

Sinon j’adore ton style, ce blog est une pépite dans l’univers de plus en plus standardisé du blogging :)

@++

]]>
By: Sam http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-173888 Tue, 12 Jan 2016 11:46:35 +0000 http://sametmax.com/?p=17638#comment-173888 Sans varnish, le blog tombe. WP est très, très lent, et on a 6000 visiteurs / jour.

]]>
By: Nono http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-173873 Tue, 12 Jan 2016 08:40:59 +0000 http://sametmax.com/?p=17638#comment-173873 Sinon le ‘varnish’, c’est que pour faire du caching ? je serais tenté de dire qu’on s’en fout :) à mes risques et périls

]]>
By: François http://sametmax.com/le-bulletin-secu-https-pour-0bin-et-leak-de-mot-de-passe/#comment-173808 Mon, 11 Jan 2016 21:27:57 +0000 http://sametmax.com/?p=17638#comment-173808 @Brice: Et qui plus est, on est chez des gens biens qui disent quand ça a fuité, mais nombres d’admins/webmaster/conseiller en com’ ne le font pas. Et là, ça peut faire mal. Donc mot de passe unique sur tous les sites web pour moi.

]]>