Web Cache Deception Attack revisited

In April, we wrote about Web Cache Deception attacks, and how our customers can avoid them using origin configuration.
Read that blog post to learn about how to configure your website, and for those who are not able to do that, how to disable caching for certain URIs to prevent this type of attacks. Since our previous blog post, we have looked for but have not seen any large scale attacks like this in the wild.
Today, we have released a tool to help our customers make sure only assets that should be cached are being cached.
A brief re-introduction to Web Cache Deception attack
Recall that the Web Cache Deception attack happens when an attacker tricks a user into clicking a link in the format of http://www.example.com/newsfeed/foo.jpg, when http://www.example.com/newsfeed is the location of a dynamic script that returns different content for different users. For some website configurations (default in Apache but not in nginx), this would invoke /newsfeed with PATH_INFO set to /foo.jpg. If http://www.example.com/newsfeed/foo.jpg does not return the proper Cache-Control headers to tell a web cache not to cache the content, web caches may decide to cache the result based on the extension of the URL. The attacker can then visit the same URL and retrieve the cached content of a private page.
The proper fix for this is to configure your website to either reject requests with the extra PATH_INFO or to return the proper Cache-Control header. Sometimes our customers are not able to do that (maybe the website is running third-party software that they do not fully control), and they can apply a Bypass Cache Page Rule for those script locations.
Cache Deception Armor
The new Cache Deception Armor Page Rule protects customers from Web Cache Deception attacks while still allowing static assets to be cached. It verifies that the URL’s extension matches the returned Content-Type. In the above example, if http://www.example.com/newsfeed is a script that outputs a web page, the Content-Type is text/html. On the other hand, http://www.example.com/newsfeed/foo.jpg is expected to have image/jpeg as Content-Type. When we see a mismatch that could result in a Web Cache Deception attack, we will not cache the response.
There are some exceptions to this. For example if the returned Content-Type is application/octet-stream we don’t care what the extension is, because that’s typically a signal to instruct the browser to save the asset instead of to display it. We also allow .jpg to be served as image/webp or .gif as video/webm and other cases that we think are unlikely to be attacks.
This new Page Rule depends upon Origin Cache Control. A Cache-Control header from the origin or Edge Cache TTL Page Rule will override this protection.

Source: CloudFlare

Comment importer des .SRT dans un projet Final Cut ?

Je ne suis pas un grand expert en montage vidéo, mais chaque jour j’en apprends un peu plus.

Comme j’utilise macOS, la plupart du temps, je réalise mes montages principalement sur Final Cut Pro. Mais bizarrement, il n’y a aucune option sur celui-ci pour importer le format de sous-titres .SRT Étrange.

J’ai donc demandé un peu d’aide sur Twitter et l’ami Dany m’a envoyé un super site qui permet de convertir en ligne, des sous-titres SRT en format FCP XML (et vice versa).

Il y a un outil SubSimple pour FCPX 😁— Dany B. (@zh3nnify) January 18, 2018

Donc pour convertir votre fichier SRT en FCPXML, rendez-vous ici sur SubSimple, uploadez votre SRT, choisissez le timecode qui va bien (24 fps en général) et la police par défaut, sachant que vous pouvez modifier cela ensuite dans Final Cut.

Cliquez ensuite sur "Send File" et vous récupérez un fichier XML que vous n'aurez plus qu'à importer dans Final Cut en passant par le menu Fichier -> Importer -> XML.

Vous le verrez alors apparaitre le sous-titre dans une collection SubSimple.

Double cliquez dessus et vous verrez le contenu du sous-titre. Sélectionnez ce contenu et faites un "Copié"

Replacez vous ensuite dans votre projet, à l'endroit exact où vous voulez intégrer le sous-titre, allez dans le menu "Édition" et faites "Coller comme plan connecté"

Et voilà, vos sous-titres sont intégrés.

Mais faites attention par contre et repassez un peu dessus, car il peut y avoir quelques ersatz à effacer.

Encore merci à Dany pour le partage !
Source: Korben

Emails stockés en Irlande : Microsoft largement soutenue devant la Cour suprême américaine

Microsoft a de quoi se réjouir. La Cour suprême américaine s’est emparée d’un dossier qui oppose l’entreprise au département de la Justice, au sujet d’emails stockés en Irlande. Or, la plus haute instance des États-Unis a été ces derniers jours d’amicus curiae émanant de très nombreux acteurs et pays.

Source: NextInpact

Oh !

Mais quel est donc ce site ? Hé bien oui, vous êtes bien sur Korben.info ! Avec mon super dev Léo, on a donc mis en production cette nouvelle version et même s'il y a encore quelques petits ajustement à faire par ci par là, ça ronronne comme un chaton.

Au rayon des nouveautés :

Un nouveau design réalisé par le célèbre Geoffrey Dorne (l'ancien thème datait quand même de 2013)
Un site totalement responsive donc adapté à vos mobiles, tablettes, et Tesla
Plus de clarté pour une meilleure lecture
Un amaigrissement sévère de la base de données qui passe donc de 9,7 GB à 100 MB (!!)
Une gestion des comptes utilisateurs via Discourse
Une intégration des tweets sur les pages du site
Un site plus rapide, car méga optimisé
Une remise en route du wiki qui bien qu'un peu poussiéreux en termes de contenu est à nouveau à votre disposition.
Une section services qui sera prochainement agrémentée de nouvelles choses sympathiques (n'hésitez pas si vous avez des suggestions)
Un process de dev -> preprod -> prod totalement revu pour éviter que je sois tenté de faire des modifs dans le code en production (ah ah !)
Et pleins d'autres petites choses que j'oublie surement.

Et si vous croisez le chemin de quelques bugs ou choses manquantes, n'hésitez pas à m'en faire part ici sur l'espace communauté. Et si vous voyez un peu de Lorem Ipsum, c'est normal, j'ai monté le niveau, maintenant les articles seront écrits en latin ! Arf !

Et surtout, comme l'a dit Léo sur Twitter, on a litterallement cassé les codes du milieu avec une mise en prod le vendredi !!!!

Encore merci pour vos futurs retours et à très vite pour de nouveaux articles !

K.
Source: Korben

Plus de 300 tablettes fournies aux députés dans le cadre de la dématérialisation des amendements

Engagée depuis plusieurs mois dans une démarche de dématérialisation des amendements, l’Assemblée nationale a commencé à fournir cette semaine une tablette aux 365 députés qui en avaient fait la demande. Ces appareils ne peuvent toutefois être utilisés que pour consulter des sites en lien avec les débats (Légifrance, Eliasse…).

Source: NextInpact