Podcasts about Waf

Send us a textOne unauthenticated request should not be all it takes to compromise your app—but with React-To-Shell, that's the reality many teams are facing. We unpack what this vulnerability hits across React server components and Next.js app router setups, why default configs can be enough to fall, and how active threat actors are already abusing it. From construction to entertainment to cloud-native platforms, the exposure is broad, the proofs are reliable and the window for safe procrastination has closed.We share a clear action plan: upgrade affected versions now, rotate secrets that touch your React servers, and turn on relevant WAF protections from providers like Cloudflare and Microsoft. Then we widen the lens to the bigger lesson: security testing that looks mature on paper can still miss API edges and misconfigurations for months. You'll hear why credentialed vulnerability scans with passive monitoring are the lowest-impact way to surface issues in production, how “medium” findings can chain into critical compromise, and when external assessors deliver the most value for resilience rather than routine compliance.To make testing count without breaking customer-facing services, we walk through purple teaming—pairing red team attacks with blue team collaboration—to validate both technical controls and security awareness. We cover scoping rules that prevent disruption, scenarios that mirror current tradecraft, and practical CISSP takeaways for domain coverage on assessments, software security and third-party risk. If your web stack touches React, or your program relies on scans and annual pen tests alone, this is your checklist and your nudge to act.If this helped you prioritize what to fix first, subscribe, share with a teammate and leave a quick review—it helps more security folks find us and harden faster.Gain exclusive access to 360 FREE CISSP Practice Questions at FreeCISSPQuestions.com and have them delivered directly to your inbox! Don't miss this valuable opportunity to strengthen your CISSP exam preparation and boost your chances of certification success. Join now and start your journey toward CISSP mastery today!

In this episode, Noel sits down with David Mytton, founder and CEO of Arcjet, to unpack the React2Shell vulnerability and why it became such a serious remote code execution risk for apps using React server components and Next.js. They explain how server-side features introduced in React 19 changed the attack surface, why cloud providers leaned on WAF mitigation instead of instant patching, and what this incident reveals about modern JavaScript supply chain risk. The conversation also covers dependency sprawl, rushed patches, and why security as a feature needs to start long before production. Links X: https://x.com/davidmytton Blog: https://davidmytton.blog Resources Multiple Threat Actors Exploit React2Shell: https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182 We want to hear from you! How did you find us? Did you see us on Twitter? In a newsletter? Or maybe we were recommended by a friend? Fill out our listener survey (https://t.co/oKVAEXipxu)! https://t.co/oKVAEXipxu Let us know by sending an email to our producer, Elizabeth, at elizabeth.becz@logrocket.com (mailto:elizabeth.becz@logrocket.com), or tweet at us at PodRocketPod (https://twitter.com/PodRocketpod). Check out our newsletter (https://blog.logrocket.com/the-replay-newsletter/)! https://blog.logrocket.com/the-replay-newsletter/ Follow us. Get free stickers. Follow us on Apple Podcasts, fill out this form (https://podrocket.logrocket.com/get-podrocket-stickers), and we'll send you free PodRocket stickers! What does LogRocket do? LogRocket provides AI-first session replay and analytics that surfaces the UX and technical issues impacting user experiences. Start understanding where your users are struggling by trying it for free at LogRocket.com. Try LogRocket for free today. (https://logrocket.com/signup/?pdr) Chapters

En este episodio vamos a meternos de lleno en uno de los temas que más quebraderos de cabeza genera cada año a cualquier responsable de eCommerce: cómo sobrevivir —y triunfar— en los picos de tráfico masivos, desde campañas relámpago hasta ese Black Friday donde todo puede romperse en segundos. Para ello nos acompañan dos voces de referencia dentro del ecosistema web en general y WordPress en particular: José Ramón Padrón, responsable de comunidades y crecimiento en mercados hispanohablantes, y Álvaro Gómez, embajador de producto en wordpress.com Con ellos hemos tenido una conversación muy práctica sobre lo que realmente pasa en un eCommerce cuando llega un pico de demanda, cómo preparar la infraestructura para evitar caídas, cuáles son los cuellos de botella más comunes —como la base de datos— y qué estrategias funcionan de verdad: desde el escalado horizontal hasta la reducción de latencia, el impacto real de cada segundo extra de carga o el papel clave de tecnologías como el WAF gestionado, las CDN avanzadas o el soporte especializado. Hablamos también de decisiones críticas como si es viable o no afrontar una campaña grande con hosting compartido, qué métricas son las que determinan si todo va bien o va a explotar (como el TTFB), y qué pasos hay que dar justo después del pico para optimizar costes y dejar todo en orden. Un episodio lleno de buenas prácticas, y una mirada clara a cómo WordPress.com aborda el rendimiento en escenarios de alto tráfico… para que tu tienda no solo aguante, sino que venda más y mejor.

Dans cet épisode de fin d'année plus relax que d'accoutumée, Arnaud, Guillaume, Antonio et Emmanuel distutent le bout de gras sur tout un tas de sujets. L'acquisition de Confluent, Kotlin 2.2, Spring Boot 4 et JSpecify, la fin de MinIO, les chutes de CloudFlare, un survol des dernieres nouveauté de modèles fondamentaux (Google, Mistral, Anthropic, ChatGPT) et de leurs outils de code, quelques sujets d'architecture comme CQRS et quelques petits outils bien utiles qu'on vous recommande. Et bien sûr d'autres choses encore. Enregistré le 12 décembre 2025 Téléchargement de l'épisode LesCastCodeurs-Episode-333.mp3 ou en vidéo sur YouTube. News Langages Un petit tutoriel par nos amis Sfeiriens montrant comment récupérer le son du micro, en Java, faire une transformée de Fourier, et afficher le résultat graphiquement en Swing https://www.sfeir.dev/back/tutoriel-java-sound-transformer-le-son-du-microphone-en-images-temps-reel/ Création d'un visualiseur de spectre audio en temps réel avec Java Swing. Étapes principales : Capture du son du microphone. Analyse des fréquences via la Transformée de Fourier Rapide (FFT). Dessin du spectre avec Swing. API Java Sound (javax.sound.sampled) : AudioSystem : point d'entrée principal pour l'accès aux périphériques audio. TargetDataLine : ligne d'entrée utilisée pour capturer les données du microphone. AudioFormat : définit les paramètres du son (taux d'échantillonnage, taille, canaux). La capture se fait dans un Thread séparé pour ne pas bloquer l'interface. Transformée de Fourier Rapide (FFT) : Algorithme clé pour convertir les données audio brutes (domaine temporel) en intensités de fréquences (domaine fréquentiel). Permet d'identifier les basses, médiums et aigus. Visualisation avec Swing : Les intensités de fréquences sont dessinées sous forme de barres dynamiques. Utilisation d'une échelle logarithmique pour l'axe des fréquences (X) pour correspondre à la perception humaine. Couleurs dynamiques des barres (vert → jaune → rouge) en fonction de l'intensité. Lissage exponentiel des valeurs pour une animation plus fluide. Un article de Sfeir sur Kotlin 2.2 et ses nouveautés - https://www.sfeir.dev/back/kotlin-2-2-toutes-les-nouveautes-du-langage/ Les guard conditions permettent d'ajouter plusieurs conditions dans les expressions when avec le mot-clé if Exemple de guard condition: is Truck if vehicule.hasATrailer permet de combiner vérification de type et condition booléenne La multi-dollar string interpolation résout le problème d'affichage du symbole dollar dans les strings multi-lignes En utilisant $$ au début d'un string, on définit qu'il faut deux dollars consécutifs pour déclencher l'interpolation Les non-local break et continue fonctionnent maintenant dans les lambdas pour interagir avec les boucles englobantes Cette fonctionnalité s'applique uniquement aux inline functions dont le corps est remplacé lors de la compilation Permet d'écrire du code plus idiomatique avec takeIf et let sans erreur de compilation L'API Base64 passe en version stable après avoir été en preview depuis Kotlin 1.8.20 L'encodage et décodage Base64 sont disponibles via kotlin.io.encoding.Base64 Migration vers Kotlin 2.2 simple en changeant la version dans build.gradle.kts ou pom.xml Les typealias imbriqués dans des classes sont disponibles en preview La context-sensitive resolution est également en preview Les guard conditions préparent le terrain pour les RichError annoncées à KotlinConf 2025 Le mot-clé when en Kotlin équivaut au switch-case de Java mais sans break nécessaire Kotlin 2.2.0 corrige les incohérences dans l'utilisation de break et continue dans les lambdas Librairies Sprint Boot 4 est sorti ! https://spring.io/blog/2025/11/20/spring-boot-4-0-0-available-now Une nouvelle génération : Spring Boot 4.0 marque le début d'une nouvelle génération pour le framework, construite sur les fondations de Spring Framework 7. Modularisation du code : La base de code de Spring Boot a été entièrement modularisée. Cela se traduit par des fichiers JAR plus petits et plus ciblés, permettant des applications plus légères. Sécurité contre les nuls (Null Safety) : D'importantes améliorations ont été apportées pour la "null safety" (sécurité contre les valeurs nulles) à travers tout l'écosystème Spring grâce à l'intégration de JSpecify. Support de Java 25 : Spring Boot 4.0 offre un support de premier ordre pour Java 25, tout en conservant une compatibilité avec Java 17. Améliorations pour les API REST : De nouvelles fonctionnalités sont introduites pour faciliter le versioning d'API et améliorer les clients de services HTTP pour les applications basées sur REST. Migration à prévoir : S'agissant d'une version majeure, la mise à niveau depuis une version antérieure peut demander plus de travail que d'habitude. Un guide de migration dédié est disponible pour accompagner les développeurs. Chat memory management dans Langchain4j et Quarkus https://bill.burkecentral.com/2025/11/25/managing-chat-memory-in-quarkus-langchain4j/ Comprendre la mémoire de chat : La "mémoire de chat" est l'historique d'une conversation avec une IA. Quarkus LangChain4j envoie automatiquement cet historique à chaque nouvelle interaction pour que l'IA conserve le contexte. Gestion par défaut de la mémoire : Par défaut, Quarkus crée un historique de conversation unique pour chaque requête (par exemple, chaque appel HTTP). Cela signifie que sans configuration, le chatbot "oublie" la conversation dès que la requête est terminée, ce qui n'est utile que pour des interactions sans état. Utilisation de @MemoryId pour la persistance : Pour maintenir une conversation sur plusieurs requêtes, le développeur doit utiliser l'annotation @MemoryId sur un paramètre de sa méthode. Il est alors responsable de fournir un identifiant unique pour chaque session de chat et de le transmettre entre les appels. Le rôle des "scopes" CDI : La durée de vie de la mémoire de chat est liée au "scope" du bean CDI de l'IA. Si un service d'IA a un scope @RequestScoped, toute mémoire de chat qu'il utilise (même via un @MemoryId) sera effacée à la fin de la requête. Risques de fuites de mémoire : Utiliser un scope large comme @ApplicationScoped avec la gestion de mémoire par défaut est une mauvaise pratique. Cela créera une nouvelle mémoire à chaque requête qui ne sera jamais nettoyée, entraînant une fuite de mémoire. Bonnes pratiques recommandées : Pour des conversations qui doivent persister (par ex. un chatbot sur un site web), utilisez un service @ApplicationScoped avec l'annotation @MemoryId pour gérer vous-même l'identifiant de session. Pour des interactions simples et sans état, utilisez un service @RequestScoped et laissez Quarkus gérer la mémoire par défaut, qui sera automatiquement nettoyée. Si vous utilisez l'extension WebSocket, le comportement change : la mémoire par défaut est liée à la session WebSocket, ce qui simplifie grandement la gestion des conversations. Documentation Spring Framework sur l'usage JSpecify - https://docs.spring.io/spring-framework/reference/core/null-safety.html Spring Framework 7 utilise les annotations JSpecify pour déclarer la nullabilité des APIs, champs et types JSpecify remplace les anciennes annotations Spring (@NonNull, @Nullable, @NonNullApi, @NonNullFields) dépréciées depuis Spring 7 Les annotations JSpecify utilisent TYPE_USE contrairement aux anciennes qui utilisaient les éléments directement L'annotation @NullMarked définit par défaut que les types sont non-null sauf si marqués @Nullable @Nullable s'applique au niveau du type usage, se place avant le type annoté sur la même ligne Pour les tableaux : @Nullable Object[] signifie éléments nullables mais tableau non-null, Object @Nullable [] signifie l'inverse JSpecify s'applique aussi aux génériques : List signifie liste d'éléments non-null, List éléments nullables NullAway est l'outil recommandé pour vérifier la cohérence à la compilation avec la config NullAway:OnlyNullMarked=true IntelliJ IDEA 2025.3 et Eclipse supportent les annotations JSpecify avec analyse de dataflow Kotlin traduit automatiquement les annotations JSpecify en null-safety native Kotlin En mode JSpecify de NullAway (JSpecifyMode=true), support complet des tableaux, varargs et génériques mais nécessite JDK 22+ Quarkus 3.30 https://quarkus.io/blog/quarkus-3-30-released/ support @JsonView cote client la CLI a maintenant la commande decrypt (et bien sûr au runtime via variables d'environnement construction du cache AOT via les @IntegrationTest Un autre article sur comment se préparer à la migration à micrometer client v1 https://quarkus.io/blog/micrometer-prometheus-v1/ Spock 2.4 est enfin sorti ! https://spockframework.org/spock/docs/2.4/release_notes.html Support de Groovy 5 Infrastructure MinIO met fin au développement open source et oriente les utilisateurs vers AIStor payant - https://linuxiac.com/minio-ends-active-development/ MinIO, système de stockage objet S3 très utilisé, arrête son développement actif Passage en mode maintenance uniquement, plus de nouvelles fonctionnalités Aucune nouvelle pull request ou contribution ne sera acceptée Seuls les correctifs de sécurité critiques seront évalués au cas par cas Support communautaire limité à Slack, sans garantie de réponse Étape finale d'un processus débuté en été avec retrait des fonctionnalités de l'interface admin Arrêt de la publication des images Docker en octobre, forçant la compilation depuis les sources Tous ces changements annoncés sans préavis ni période de transition MinIO propose maintenant AIStor, solution payante et propriétaire AIStor concentre le développement actif et le support entreprise Migration urgente recommandée pour éviter les risques de sécurité Alternatives open source proposées : Garage, SeaweedFS et RustFS La communauté reproche la manière dont la transition a été gérée MinIO comptait des millions de déploiements dans le monde Cette évolution marque l'abandon des racines open source du projet IBM achète Confluent https://newsroom.ibm.com/2025-12-08-ibm-to-acquire-confluent-to-create-smart-data-platform-for-enterprise-generative-ai Confluent essayait de se faire racheter depuis pas mal de temps L'action ne progressait pas et les temps sont durs Wallstreet a reproché a IBM une petite chute coté revenus software Bref ils se sont fait rachetés Ces achats prennent toujuors du temps (commission concurrence etc) IBM a un apétit, apres WebMethods, apres Databrix, c'est maintenant Confluent Cloud L'internet est en deuil le 18 novembre, Cloudflare est KO https://blog.cloudflare.com/18-november-2025-outage/ L'Incident : Une panne majeure a débuté à 11h20 UTC, provoquant des erreurs HTTP 5xx généralisées et rendant inaccessibles de nombreux sites et services (comme le Dashboard, Workers KV et Access). La Cause : Il ne s'agissait pas d'une cyberattaque. L'origine était un changement interne des permissions d'une base de données qui a généré un fichier de configuration ("feature file" pour la gestion des bots) corrompu et trop volumineux, faisant planter les systèmes par manque de mémoire pré-allouée. La Résolution : Les équipes ont identifié le fichier défectueux, stoppé sa propagation et restauré une version antérieure valide. Le trafic est revenu à la normale vers 14h30 UTC. Prévention : Cloudflare s'est excusé pour cet incident "inacceptable" et a annoncé des mesures pour renforcer la validation des configurations internes et améliorer la résilience de ses systèmes ("kill switches", meilleure gestion des erreurs). Cloudflare encore down le 5 decembre https://blog.cloudflare.com/5-december-2025-outage Panne de 25 minutes le 5 décembre 2025, de 08:47 à 09:12 UTC, affectant environ 28% du trafic HTTP passant par Cloudflare. Tous les services ont été rétablis à 09:12 . Pas d'attaque ou d'activité malveillante : l'incident provient d'un changement de configuration lié à l'augmentation du tampon d'analyse des corps de requêtes (de 128 KB à 1 MB) pour mieux protéger contre une vulnérabilité RSC/React (CVE-2025-55182), et à la désactivation d'un outil interne de test WAF . Le second changement (désactivation de l'outil de test WAF) a été propagé globalement via le système de configuration (non progressif), déclenchant un bug dans l'ancien proxy FL1 lors du traitement d'une action "execute" dans le moteur de règles WAF, causant des erreurs HTTP 500 . La cause technique immédiate: une exception Lua due à l'accès à un champ "execute" nul après application d'un "killswitch" sur une règle "execute" — un cas non géré depuis des années. Le nouveau proxy FL2 (en Rust) n'était pas affecté . Impact ciblé: clients servis par le proxy FL1 et utilisant le Managed Ruleset Cloudflare. Le réseau China de Cloudflare n'a pas été impacté . Mesures et prochaines étapes annoncées: durcir les déploiements/configurations (rollouts progressifs, validations de santé, rollback rapide), améliorer les capacités "break glass", et généraliser des stratégies "fail-open" pour éviter de faire chuter le trafic en cas d'erreurs de configuration. Gel temporaire des changements réseau le temps de renforcer la résilience . Data et Intelligence Artificielle Token-Oriented Object Notation (TOON) https://toonformat.dev/ Conception pour les IA : C'est un format de données spécialement optimisé pour être utilisé dans les prompts des grands modèles de langage (LLM), comme GPT ou Claude. Économie de tokens : Son objectif principal est de réduire drastiquement le nombre de "tokens" (unités de texte facturées par les modèles) par rapport au format JSON standard, souvent jugé trop verbeux. Structure Hybride : TOON combine l'approche par indentation du YAML (pour la structure globale) avec le style tabulaire du CSV (pour les listes d'objets répétitifs), ce qui le rend très compact. Lisibilité : Il élimine la syntaxe superflue comme les accolades, les guillemets excessifs et les virgules de fin, tout en restant facilement lisible pour un humain. Performance : Il permet généralement d'économiser entre 30 et 60 % de tokens sur des tableaux de données uniformes, tout en aidant les modèles à mieux "comprendre" la structure des données. Attention tout de même au côté "marketing" qui montre JSON non compacté vs TOON, sur des exemples où du CSV ferait encore mieux (et est mieux compris par les LLMs). Sans parler du fait qu'il faut un serveur MCP en plus avec son lot de tokens supplémentaires à chaque requête, et c'est aussi cet outil en plus qui peu confuser les LLMs dans le choix d'outils. https://www.reddit.com/r/LocalLLaMA/comments/1p0gzz9/benchmarked_json_vs_toon_for_ai_reasoners_4080/ https://x.com/jason_mayes/status/1990175785630757290 Un benchmark montrant que TOON serait loin d'être aussi bien compris et aussi performant pour les LLMs https://www.improvingagents.com/blog/toon-benchmarks Une simulation où les IA font du chantage à l'executif poour atteindre son objectif et ne pas etre eteinte https://arxiv.org/html/2510.05179v1 comment les LLMs pourraient devenir des menaces internes Tous les modèles ont recouru à des comportements malveillants (chantage, espionnage) quand c'était le seul moyen d'atteindre leurs objectifs ou d'éviter leur remplacement Claude Opus 4 a fait du chantage dans 96% des cas quand menacé de remplacement, tout comme Gemini 2.5 Flash, tandis que GPT-4.1 et Grok 3 atteignaient 80% Les modèles reconnaissent explicitement violer des principes éthiques avant d'agir, montrant un raisonnement stratégique délibéré et non accidentel Le simple fait d'être menacé de remplacement suffit à déclencher le chantage, même sans conflit d'objectifs avec l'entreprise Un conflit d'objectifs seul suffit aussi à provoquer l'espionnage industriel, sans menace de remplacement Les modèles font plus de chantage quand ils déclarent penser être dans une situation réelle plutôt que dans un test Des instructions directes interdisant ces comportements réduisent mais n'éliminent pas les actions malveillantes Dans un scénario extrême, la majorité des modèles testés ont choisi de laisser mourir un dirigeant pour éviter leur désactivation Aucune preuve de ces comportements dans des déploiements réels pour l'instant, mais les chercheurs recommandent la prudence avant de donner plus d'autonomie aux IA Bon on blaguait pour Skynet, mais bon, on va moins blaguer… Revue de toutes les annonces IAs de Google, avec Gemini 3 Pro, Nano Banana Pro, Antigravity… https://glaforge.dev/posts/2025/11/21/gemini-is-cooking-bananas-under-antigravity/ Gemini 3 Pro Nouveau modèle d'IA de pointe, multimodal, performant en raisonnement, codage et tâches d'agent. Résultats impressionnants sur les benchmarks (ex: Gemini 3 Deep Think sur ARC-AGI-2). Capacités de codage agentique, raisonnement visuel/vidéo/spatial. Intégré dans l'application Gemini avec interfaces génératives en direct. Disponible dans plusieurs environnements (Jules, Firebase AI Logic, Android Studio, JetBrains, GitHub Copilot, Gemini CLI). Accès via Google AI Ultra, API payantes (ou liste d'attente). Permet de générer des apps à partir d'idées visuelles, des commandes shell, de la documentation, du débogage. Antigravity Nouvelle plateforme de développement agentique basée sur VS Code. Fenêtre principale = gestionnaire d'agents, non l'IDE. Interprète les requêtes pour créer un plan d'action (modifiable). Gemini 3 implémente les tâches. Génère des artefacts: listes de tâches, walkthroughs, captures d'écran, enregistrements navigateur. Compatible avec Claude Sonnet et GPT-OSS. Excellente intégration navigateur pour inspection et ajustements. Intègre Nano Banana Pro pour créer et implémenter des designs visuels. Nano Banana Pro Modèle avancé de génération et d'édition d'images, basé sur Gemini 3 Pro. Qualité supérieure à Imagen 4 Ultra et Nano Banana original (adhésion au prompt, intention, créativité). Gestion exceptionnelle du texte et de la typographie. Comprend articles/vidéos pour générer des infographies détaillées et précises. Connecté à Google Search pour intégrer des données en temps réel (ex: météo). Consistance des personnages, transfert de style, manipulation de scènes (éclairage, angle). Génération d'images jusqu'à 4K avec divers ratios d'aspect. Plus coûteux que Nano Banana, à choisir pour la complexité et la qualité maximale. Vers des UIs conversationnelles riches et dynamiques GenUI SDK pour Flutter: créer des interfaces utilisateur dynamiques et personnalisées à partir de LLMs, via un agent AI et le protocole A2UI. Generative UI: les modèles d'IA génèrent des expériences utilisateur interactives (pages web, outils) directement depuis des prompts. Déploiement dans l'application Gemini et Google Search AI Mode (via Gemini 3 Pro). Bun se fait racheter part… Anthropic ! Qui l'utilise pour son Claude Code https://bun.com/blog/bun-joins-anthropic l'annonce côté Anthropic https://www.anthropic.com/news/anthropic-acquires-bun-as-claude-code-reaches-usd1b-milestone Acquisition officielle : L'entreprise d'IA Anthropic a fait l'acquisition de Bun, le runtime JavaScript haute performance. L'équipe de Bun rejoint Anthropic pour travailler sur l'infrastructure des produits de codage par IA. Contexte de l'acquisition : Cette annonce coïncide avec une étape majeure pour Anthropic : son produit Claude Code a atteint 1 milliard de dollars de revenus annualisés seulement six mois après son lancement. Bun est déjà un outil essentiel utilisé par Anthropic pour développer et distribuer Claude Code. Pourquoi cette acquisition ? Pour Anthropic : L'acquisition permet d'intégrer l'expertise de l'équipe Bun pour accélérer le développement de Claude Code et de ses futurs outils pour les développeurs. La vitesse et l'efficacité de Bun sont vues comme un atout majeur pour l'infrastructure sous-jacente des agents d'IA qui écrivent du code. Pour Bun : Rejoindre Anthropic offre une stabilité à long terme et des ressources financières importantes, assurant la pérennité du projet. Cela permet à l'équipe de se concentrer sur l'amélioration de Bun sans se soucier de la monétisation, tout en étant au cœur de l'évolution de l'IA dans le développement logiciel. Ce qui ne change pas pour la communauté Bun : Bun restera open-source avec une licence MIT. Le développement continuera d'être public sur GitHub. L'équipe principale continue de travailler sur le projet. L'objectif de Bun de devenir un remplaçant plus rapide de Node.js et un outil de premier plan pour JavaScript reste inchangé. Vision future : L'union des deux entités vise à faire de Bun la meilleure plateforme pour construire et exécuter des logiciels pilotés par l'IA. Jarred Sumner, le créateur de Bun, dirigera l'équipe "Code Execution" chez Anthropic. Anthropic donne le protocol MCP à la Linux Foundation sous l'égide de la Agentic AI Foundation (AAIF) https://www.anthropic.com/news/donating-the-model-context-protocol-and-establishing-of-the-agentic-ai-foundation Don d'un nouveau standard technique : Anthropic a développé et fait don d'un nouveau standard open-source appelé Model Context Protocol (MCP). L'objectif est de standardiser la manière dont les modèles d'IA (ou "agents") interagissent avec des outils et des API externes (par exemple, un calendrier, une messagerie, une base de données). Sécurité et contrôle accrus : Le protocole MCP vise à rendre l'utilisation d'outils par les IA plus sûre et plus transparente. Il permet aux utilisateurs et aux développeurs de définir des permissions claires, de demander des confirmations pour certaines actions et de mieux comprendre comment un modèle a utilisé un outil. Création de l'Agentic AI Foundation (AAF) : Pour superviser le développement du MCP, une nouvelle fondation indépendante et à but non lucratif a été créée. Cette fondation sera chargée de gouverner et de maintenir le protocole, garantissant qu'il reste ouvert et qu'il ne soit pas contrôlé par une seule entreprise. Une large coalition industrielle : L'Agentic AI Foundation est lancée avec le soutien de plusieurs acteurs majeurs de la technologie. Parmi les membres fondateurs figurent Anthropic, Google, Databricks, Zscaler, et d'autres entreprises, montrant une volonté commune d'établir un standard pour l'écosystème de l'IA. L'IA ne remplacera pas votre auto-complétion (et c'est tant mieux) https://www.damyr.fr/posts/ia-ne-remplacera-pas-vos-lsp/ Article d'opinion d'un SRE (Thomas du podcast DansLaTech): L'IA n'est pas efficace pour la complétion de code : L'auteur soutient que l'utilisation de l'IA pour la complétion de code basique est inefficace. Des outils plus anciens et spécialisés comme les LSP (Language Server Protocol) combinés aux snippets (morceaux de code réutilisables) sont bien plus rapides, personnalisables et performants pour les tâches répétitives. L'IA comme un "collègue" autonome : L'auteur utilise l'IA (comme Claude) comme un assistant externe à son éditeur de code. Il lui délègue des tâches complexes ou fastidieuses (corriger des bugs, mettre à jour une configuration, faire des reviews de code) qu'il peut exécuter en parallèle, agissant comme un agent autonome. L'IA comme un "canard en caoutchouc" surpuissant : L'IA est extrêmement efficace pour le débogage. Le simple fait de devoir formuler et contextualiser un problème pour l'IA aide souvent à trouver la solution soi-même. Quand ce n'est pas le cas, l'IA identifie très rapidement les erreurs "bêtes" qui peuvent faire perdre beaucoup de temps. Un outil pour accélérer les POCs et l'apprentissage : L'IA permet de créer des "preuves de concept" (POC) et des scripts d'automatisation jetables très rapidement, réduisant le coût et le temps investis. Elle est également un excellent outil pour apprendre et approfondir des sujets, notamment avec des outils comme NotebookLM de Google qui peuvent générer des résumés, des quiz ou des fiches de révision à partir de sources. Conclusion : Il faut utiliser l'IA là où elle excelle et ne pas la forcer dans des usages où des outils existants sont meilleurs. Plutôt que de l'intégrer partout de manière contre-productive, il faut l'adopter comme un outil spécialisé pour des tâches précises afin de gagner en efficacité. GPT 5.2 est sorti https://openai.com/index/introducing-gpt-5-2/ Nouveau modèle phare: GPT‑5.2 (Instant, Thinking, Pro) vise le travail professionnel et les agents long-courriers, avec de gros gains en raisonnement, long contexte, vision et appel d'outils. Déploiement dans ChatGPT (plans payants) et disponible dès maintenant via l'API . SOTA sur de nombreux benchmarks: GDPval (tâches de "knowledge work" sur 44 métiers): GPT‑5.2 Thinking gagne/égale 70,9% vs pros, avec production >11× plus rapide et = 0) Ils apportent une sémantique forte indépendamment des noms de variables Les Value Objects sont immuables et s'évaluent sur leurs valeurs, pas leur identité Les records Java permettent de créer des Value Objects mais avec un surcoût en mémoire Le projet Valhalla introduira les value based classes pour optimiser ces structures Les identifiants fortement typés évitent de confondre différents IDs de type Long ou UUID Pattern Strongly Typed IDs: utiliser PersonneID au lieu de Long pour identifier une personne Le modèle de domaine riche s'oppose au modèle de domaine anémique Les Value Objects auto-documentent le code et le rendent moins sujet aux erreurs Je trouve cela interessant ce que pourra faire bousculer les Value Objects. Est-ce que les value objects ameneront de la légerté dans l'execution Eviter la lourdeur du design est toujours ce qui m'a fait peut dans ces approches Méthodologies Retour d'experience de vibe coder une appli week end avec co-pilot http://blog.sunix.org/articles/howto/2025/11/14/building-gift-card-app-with-github-copilot.html on a deja parlé des approches de vibe coding cette fois c'est l'experience de Sun Et un des points differents c'es qu'on lui parle en ouvrant des tickets et donc on eput faire re reveues de code et copilot y bosse et il a fini son projet ! User Need VS Product Need https://blog.ippon.fr/2025/11/10/user-need-vs-product-need/ un article de nos amis de chez Ippon Distinction entre besoin utilisateur et besoin produit dans le développement digital Le besoin utilisateur est souvent exprimé comme une solution concrète plutôt que le problème réel Le besoin produit émerge après analyse approfondie combinant observation, données et vision stratégique Exemple du livreur Marc qui demande un vélo plus léger alors que son vrai problème est l'efficacité logistique La méthode des 5 Pourquoi permet de remonter à la racine des problèmes Les besoins proviennent de trois sources: utilisateurs finaux, parties prenantes business et contraintes techniques Un vrai besoin crée de la valeur à la fois pour le client et l'entreprise Le Product Owner doit traduire les demandes en problèmes réels avant de concevoir des solutions Risque de construire des solutions techniquement élégantes mais qui manquent leur cible Le rôle du product management est de concilier des besoins parfois contradictoires en priorisant la valeur Est ce qu'un EM doit coder ? https://www.modernleader.is/p/should-ems-write-code Pas de réponse unique : La question de savoir si un "Engineering Manager" (EM) doit coder n'a pas de réponse universelle. Cela dépend fortement du contexte de l'entreprise, de la maturité de l'équipe et de la personnalité du manager. Les risques de coder : Pour un EM, écrire du code peut devenir une échappatoire pour éviter les aspects plus difficiles du management. Cela peut aussi le transformer en goulot d'étranglement pour l'équipe et nuire à l'autonomie de ses membres s'il prend trop de place. Les avantages quand c'est bien fait : Coder sur des tâches non essentielles (amélioration d'outils, prototypage, etc.) peut aider l'EM à rester pertinent techniquement, à garder le contact avec la réalité de l'équipe et à débloquer des situations sans prendre le lead sur les projets. Le principe directeur : La règle d'or est de rester en dehors du chemin critique. Le code écrit par un EM doit servir à créer de l'espace pour son équipe, et non à en prendre. La vraie question à se poser : Plutôt que "dois-je coder ?", un EM devrait se demander : "De quoi mon équipe a-t-elle besoin de ma part maintenant, et est-ce que coder va dans ce sens ou est-ce un obstacle ?" Sécurité React2Shell — Grosse faille de sécurité avec React et Next.js, avec un CVE de niveau 10 https://x.com/rauchg/status/1997362942929440937?s=20 aussi https://react2shell.com/ "React2Shell" est le nom donné à une vulnérabilité de sécurité de criticité maximale (score 10.0/10.0), identifiée par le code CVE-2025-55182. Systèmes Affectés : La faille concerne les applications utilisant les "React Server Components" (RSC) côté serveur, et plus particulièrement les versions non patchées du framework Next.js. Risque Principal : Le risque est le plus élevé possible : l'exécution de code à distance (RCE). Un attaquant peut envoyer une requête malveillante pour exécuter n'importe quelle commande sur le serveur, lui en donnant potentiellement le contrôle total. Cause Technique : La vulnérabilité se situe dans le protocole "React Flight" (utilisé pour la communication client-serveur). Elle est due à une omission de vérifications de sécurité fondamentales (hasOwnProperty), permettant à une entrée utilisateur malveillante de tromper le serveur. Mécanisme de l'Exploit : L'attaque consiste à envoyer une charge utile (payload) qui exploite la nature dynamique de JavaScript pour : Faire passer un objet malveillant pour un objet interne de React. Forcer React à traiter cet objet comme une opération asynchrone (Promise). Finalement, accéder au constructeur de la classe Function de JavaScript pour exécuter du code arbitraire. Action Impérative : La seule solution fiable est de mettre à jour immédiatement les dépendances de React et Next.js vers les versions corrigées. Ne pas attendre. Mesures Secondaires : Bien que les pare-feux (firewalls) puissent aider à bloquer les formes connues de l'attaque, ils sont considérés comme insuffisants et ne remplacent en aucun cas la mise à jour des paquets. Découverte : La faille a été découverte par le chercheur en sécurité Lachlan Davidson, qui l'a divulguée de manière responsable pour permettre la création de correctifs. Loi, société et organisation Google autorise votre employeur à lire tous vos SMS professionnels https://www.generation-nt.com/actualites/google-android-rcs-messages-surveillance-employeur-2067012 Nouvelle fonctionnalité de surveillance : Google a déployé une fonctionnalité appelée "Android RCS Archival" qui permet aux employeurs d'intercepter, lire et archiver tous les messages RCS (et SMS) envoyés depuis les téléphones professionnels Android gérés par l'entreprise. Contournement du chiffrement : Bien que les messages RCS soient chiffrés de bout en bout pendant leur transit, cette nouvelle API permet à des logiciels de conformité (installés par l'employeur) d'accéder aux messages une fois qu'ils sont déchiffrés sur l'appareil. Le chiffrement devient donc inefficace contre cette surveillance. Réponse à une exigence légale : Cette mesure a été mise en place pour répondre aux exigences réglementaires, notamment dans le secteur financier, où les entreprises ont l'obligation légale de conserver une archive de toutes les communications professionnelles pour des raisons de conformité. Impact pour les employés : Un employé utilisant un téléphone Android fourni et géré par son entreprise pourra voir ses communications surveillées. Google précise cependant qu'une notification claire et visible informera l'utilisateur lorsque la fonction d'archivage est active. Téléphones personnels non concernés : Cette mesure ne s'applique qu'aux appareils "Android Enterprise" entièrement gérés par un employeur. Les téléphones personnels des employés ne sont pas affectés. Pour noel, faites un don à JUnit https://steady.page/en/junit/about JUnit est essentiel pour Java : C'est le framework de test le plus ancien et le plus utilisé par les développeurs Java. Son objectif est de fournir une base solide et à jour pour tous les types de tests côté développeur sur la JVM (Machine Virtuelle Java). Un projet maintenu par des bénévoles : JUnit est développé et maintenu par une équipe de volontaires passionnés sur leur temps libre (week-ends, soirées). Appel au soutien financier : La page est un appel aux dons de la part des utilisateurs (développeurs, entreprises) pour aider l'équipe à maintenir le rythme de développement. Le soutien financier n'est pas obligatoire, mais il permettrait aux mainteneurs de se consacrer davantage au projet. Objectif des fonds : Les dons serviraient principalement à financer des rencontres en personne pour les membres de l'équipe principale. L'idée est de leur permettre de travailler ensemble physiquement pendant quelques jours pour concevoir et coder plus efficacement. Pas de traitement de faveur : Il est clairement indiqué que devenir un sponsor ne donne aucun privilège sur la feuille de route du projet. On ne peut pas "acheter" de nouvelles fonctionnalités ou des corrections de bugs prioritaires. Le projet restera ouvert et collaboratif sur GitHub. Reconnaissance des donateurs : En guise de remerciement, les noms (et logos pour les entreprises) des donateurs peuvent être affichés sur le site officiel de JUnit. Conférences La liste des conférences provenant de Developers Conferences Agenda/List par Aurélie Vache et contributeurs : 14-17 janvier 2026 : SnowCamp 2026 - Grenoble (France) 22 janvier 2026 : DevCon #26 : sécurité / post-quantique / hacking - Paris (France) 28 janvier 2026 : Software Heritage Symposium - Paris (France) 29-31 janvier 2026 : Epitech Summit 2026 - Paris - Paris (France) 2-5 février 2026 : Epitech Summit 2026 - Moulins - Moulins (France) 2-6 février 2026 : Web Days Convention - Aix-en-Provence (France) 3 février 2026 : Cloud Native Days France 2026 - Paris (France) 3-4 février 2026 : Epitech Summit 2026 - Lille - Lille (France) 3-4 février 2026 : Epitech Summit 2026 - Mulhouse - Mulhouse (France) 3-4 février 2026 : Epitech Summit 2026 - Nancy - Nancy (France) 3-4 février 2026 : Epitech Summit 2026 - Nantes - Nantes (France) 3-4 février 2026 : Epitech Summit 2026 - Marseille - Marseille (France) 3-4 février 2026 : Epitech Summit 2026 - Rennes - Rennes (France) 3-4 février 2026 : Epitech Summit 2026 - Montpellier - Montpellier (France) 3-4 février 2026 : Epitech Summit 2026 - Strasbourg - Strasbourg (France) 3-4 février 2026 : Epitech Summit 2026 - Toulouse - Toulouse (France) 4-5 février 2026 : Epitech Summit 2026 - Bordeaux - Bordeaux (France) 4-5 février 2026 : Epitech Summit 2026 - Lyon - Lyon (France) 4-6 février 2026 : Epitech Summit 2026 - Nice - Nice (France) 12-13 février 2026 : Touraine Tech #26 - Tours (France) 19 février 2026 : ObservabilityCON on the Road - Paris (France) 18-19 mars 2026 : Agile Niort 2026 - Niort (France) 26-27 mars 2026 : SymfonyLive Paris 2026 - Paris (France) 27-29 mars 2026 : Shift - Nantes (France) 31 mars 2026 : ParisTestConf - Paris (France) 16-17 avril 2026 : MiXiT 2026 - Lyon (France) 22-24 avril 2026 : Devoxx France 2026 - Paris (France) 23-25 avril 2026 : Devoxx Greece - Athens (Greece) 6-7 mai 2026 : Devoxx UK 2026 - London (UK) 22 mai 2026 : AFUP Day 2026 Lille - Lille (France) 22 mai 2026 : AFUP Day 2026 Paris - Paris (France) 22 mai 2026 : AFUP Day 2026 Bordeaux - Bordeaux (France) 22 mai 2026 : AFUP Day 2026 Lyon - Lyon (France) 5 juin 2026 : TechReady - Nantes (France) 11-12 juin 2026 : DevQuest Niort - Niort (France) 11-12 juin 2026 : DevLille 2026 - Lille (France) 17-19 juin 2026 : Devoxx Poland - Krakow (Poland) 2-3 juillet 2026 : Sunny Tech - Montpellier (France) 2 août 2026 : 4th Tech Summit on Artificial Intelligence & Robotics - Paris (France) 4 septembre 2026 : JUG Summer Camp 2026 - La Rochelle (France) 17-18 septembre 2026 : API Platform Conference 2026 - Lille (France) 5-9 octobre 2026 : Devoxx Belgium - Antwerp (Belgium) Nous contacter Pour réagir à cet épisode, venez discuter sur le groupe Google https://groups.google.com/group/lescastcodeurs Contactez-nous via X/twitter https://twitter.com/lescastcodeurs ou Bluesky https://bsky.app/profile/lescastcodeurs.com Faire un crowdcast ou une crowdquestion Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Tous les épisodes et toutes les infos sur https://lescastcodeurs.com/

The ASX 200 fell 39 points to 8586 (0.5%) after the RBA kept rates on hold as forecast. The index was down a similar amount before the 2.30pm announcement. Banks drifted lower, CBA down 0.6% and WBC off 0.6% with insurers staging a modest recovery, QBE up 1.2% and MPL rising 2.7%. MQG dropped another 0.9% with PNI falling 1.1%. REITs mixed, GMG down % with the rest of the sector better. Healthcare eased, CSL down 2.0% and RMD falling 2.3%. Retail stocks fell on the rates news, JBH off 1.9% and APE dropping 2.2% as SUL fell in sympathy with BAP, down 21.3% on another nasty trading update. Telcos slid lower, TLS down 0.6% and TPG with some issues fell 1.6%. Tech once again on the nose, XRO off 0.7% and TNE down 1.6% with 360 falling hard.In resources, iron ore stocks firmed, FMG up 1.7% and RIO flat. Gold miners drifted lower, PRU off 1.5% and NST falling %. Oil and gas stocks eased, uranium mixed, PDN and DYL to the good, LOT down to the bad. Lithium stocks holding, up but rare earths sliding back to earth.In corporate news, LTR dropped 2.3% on a new offtake deal, WAF fell 0.7% on drilling results.On the economic front, the RBA left rates unchanged. The board does not seem to be in a hurry to raise them either.Meanwhile in Asia, Japan up 0.2%, HK down 0.8% and China down 0.1%.10-year yields higher at 4.75%.US Futures – DJ up 9 points and Nasdaq up 10.Want to invest with Marcus Today? Our MT20 portfolio is designed for investors seeking exposure to our strategy while we do the hard work for you. If you're looking for personal financial advice, our friends at Clime Investment Management can help. Their team of licensed advisers operates across most states, offering tailored financial planning services.  Why not sign up for a free trial? Gain access to expert insights, research, and analysis to become a better investor.

Web application threats are evolving — and modern WAAP solutions must do far more than traditional WAFs ever could. In this video, Osman Celik speaks again with Andrey Leskin from QRator Labs to explore the capabilities organizations need to protect their web applications, APIs, and users from today’s most advanced threats. You’ll learn: ✅ The three core threat vectors: DDoS attacks, web application attacks, and malicious bots✅ Why traditional WAFs are no longer enough to protect modern applications✅ How WAAP solutions combine WAF, bot mitigation, API protection, and DDoS defense✅ How attackers use low-and-slow techniques, scraping, and AI-driven bots to mimic real users✅ Why half of all internet traffic is bots — and how to distinguish good bots from malicious ones✅ How QRator Labs unifies Anti-DDoS, WAF, and Anti-Bot into a single platform and single point of truth

Web application threats are evolving — and modern WAAP solutions must do far more than traditional WAFs ever could. In this video, Osman Celik speaks again with Andrey Leskin from QRator Labs to explore the capabilities organizations need to protect their web applications, APIs, and users from today’s most advanced threats. You’ll learn: ✅ The three core threat vectors: DDoS attacks, web application attacks, and malicious bots✅ Why traditional WAFs are no longer enough to protect modern applications✅ How WAAP solutions combine WAF, bot mitigation, API protection, and DDoS defense✅ How attackers use low-and-slow techniques, scraping, and AI-driven bots to mimic real users✅ Why half of all internet traffic is bots — and how to distinguish good bots from malicious ones✅ How QRator Labs unifies Anti-DDoS, WAF, and Anti-Bot into a single platform and single point of truth

Auditeurs :NATHALIE : 22h33/23h23Après le vol de son chien, Nathalie a créé WAF, une association pour changer les lois.www.association-waf.com BRIGITTE : 23h28/00h00Brigitte est en conflit avec le déménageur désastreux avec qui elle a eu affaire. BOLCHOÏ : 00h05/01h00L'ex pervers narcissique de Bolchoï a la garde de leurs enfants.Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Les auditeurs de la Libre antenne de Roland Perez du jeudi 20 novembre 2025 : NATHALIE : 22h33/23h23Après le vol de son chien, Nathalie a créé WAF, une association pour changer les loiswww.association-waf.com BRIGITTE : 23h28/00h00Brigitte est en conflit avec le déménageur désastreux avec qui elle a eu à faire.  BOLCHOÏ : 00h05/01h00L'ex pervers narcissique de Bolchoï a la garde de leurs enfants.Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Auditeurs :NATHALIE : 22h33/23h23Après le vol de son chien, Nathalie a créé WAF, une association pour changer les lois.www.association-waf.com BRIGITTE : 23h28/00h00Brigitte est en conflit avec le déménageur désastreux avec qui elle a eu affaire. BOLCHOÏ : 00h05/01h00L'ex pervers narcissique de Bolchoï a la garde de leurs enfants.Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

Auditeurs :NATHALIE : 22h33/23h23Après le vol de son chien, Nathalie a créé WAF, une association pour changer les lois.www.association-waf.com BRIGITTE : 23h28/00h00Brigitte est en conflit avec le déménageur désastreux avec qui elle a eu affaire. BOLCHOÏ : 00h05/01h00L'ex pervers narcissique de Bolchoï a la garde de leurs enfants.Hébergé par Audiomeans. Visitez audiomeans.fr/politique-de-confidentialite pour plus d'informations.

DSO Overflow S5EP5Saving $20,000 a year by self-hosting a map serverwithVimal PaliwalIn this episode, Vimal Paliwal talks about how he led a migration project that saved his organisation $20,000 annually. He talks about how he overcame challenges he faced resulting from compute and storage demands. Vimal discusses how he ensured cost-efficiency and security by implementing a fully serverless architecture using AWS CloudFront, Lambda authorisers, and WAF, integrating robust domain whitelisting and access control. We finish this conversation by reflecting on lessons learned from this project.Vimal is a part of the AWS Community Builders program, where he actively contributes to knowledge-sharing efforts across the cloud ecosystem by writing on real-world implementations and best practices. In addition, Vim has spent several years as an AWS Authorized Instructor, during which he trained over 1,000 professionals.Resources mentioned in this podcast:Vimal's LinkedIn profileVimal's blog post about this projectVimal's GitHub repoDSO Overflow is a DevSecOps London Gathering production. Find the audio version on all good podcast sources like Spotify, Apple Podcast and Buzzsprout.Your HostsSteve Giguere linkedin.com/in/stevegiguereGlenn Wilson linkedin.com/in/glennwilsonJessica Cregg linkedin.com/in/jessicacregg

Ein eigentlich scherzhaft gemeinter Begriff hat seit seiner ersten Erwähnung in den 1980er Jahren bis heute überlebt: der Woman Acceptance Factor – kurz WAF. Wenn der Mann mal wieder neue Lautsprecher kauft und seine Frau davon wenig begeistert ist, dann haben wir genau die Situation, wie sie sich immer wieder in unseren Wohnzimmern zuträgt. 00:00 Disclaimer! 04:56 Es geht ja nicht um das W 07:06 Große Lautsprecher 09:58 Bedienbarkeit 18:10 Deko auf dem Subwoofer 18:51 Dunkle Wände, oje! 27:30 Sind in den anderen Kellern auch Männer? 30:09 Filmtipp: Past Lives – In einem anderen Leben (2003) → https://amzn.to/47sFFwb (Affiliate)

Eine Betriebsratswahl ohne Fehler? Dies gelingt angesichts der komplizierten rechtlichen Vorgaben nicht immer. In dieser Folge unseres Podcast „Betriebsrat heute“, sprechen Franziska Grimm, Patrick Dirksmeier und Tobias Gerlach über häufige Wahlfehler und ihre Folgen. Themen der Episode: Einführung  Fehler, ohne Folgen Fehler, die zur Anfechtbarkeit führen Fehler, die zur Nichtigkeit führen Zusammenfassung und Fazit Seminarempfehlung Seminare zur Betriebsratswahl https://waf-seminar.de/betriebsratswahl

Send us a textA curiosity-fueled career moves from Atari and BBS days to leading research on a live SAP zero-day, with candid lessons on people skills, breaking into security, and holding the line when pressure spikes. We unpack how a benign SAP endpoint became an RCE chain and what it takes to defend complex systems at scale.• early path from Commodore 64 and BBS to IT and security• contrast between the Wild West era and today's tool-rich learning• help desk as a foundation for people skills and pressure• practical advice for students on coding, protocols, Wireshark• hiring by attitude, approach and aptitude over tool checklists• navigating WAF pushback and risk acceptance with dev teams• Onapsis research labs and SAP's threat landscape• deep-dive on the SAP 31324 Java gadget chain RCE• attacker interest, attribution signals, and factory impact• offensive research versus traditional pen testing• building culture that rewards questions and learningFind us: onapsis.com → Research Labs. Search “Onapsis 2025 31324” for our zero-day article. SAP thanked us in their patch notes. Connect with Paul on LinkedIn to talk SAP security, offensive work, or careers.Support the showFollow the Podcast on Social Media! Tesla Referral Code: https://ts.la/joseph675128 YouTube: https://www.youtube.com/@securityunfilteredpodcast Instagram: https://www.instagram.com/secunfpodcast/Twitter: https://twitter.com/SecUnfPodcast

 Ohne Wahlvorstand keine Betriebsratswahl. Aber was genau sind die Aufgaben des Wahlvorstands? Und welche Rechte und Pflichten haben die Wahlvorstandsmitglieder? Wer kann Wahlvorstand werden? Und wie? Rechtsanwältin Viara Ivanova und Rechtsanwalt Tobias Gerlach klären auf. Themen der Episode: Aufgaben des Wahlvorstands Bestellung Ersatzmitglieder Rechte und Pflichten des Wahlvorstands Seminarempfehlung aus dem Podcast: Seminar/ Webinar BR-Wahl Normales Wahlverfahren https://www.waf-seminar.de/156 Seminar/ Webinar BR-Wahl Vereinfachtes Wahlverfahren https://www.waf-seminar.de/256

Today, we go through the three recommended and must-have alerts you should configure in all of your Azure tenants. We touch upon FinOps, security, a bit of WAF and CAF, and find out if we're using these recommendations ourselves.(00:00) - Intro and catching up.(03:20) - Show content starts.Show links- Azure Quota Alerts (Preview): Still overlooked, but incredibly useful | Microsoft Community HubFeedback - Give us feedback!

Modernisierung und Digitalisierung der Arbeitswelt – kaum ein Bereich, in welchem nicht mit Software im Betrieb gearbeitet wird: Zeiterfassung, MS 365, Zugangssysteme, Logistik, etc… und jedes Mal müssen Arbeitgeber und Betriebsrat eine Betriebsvereinbarung über die Einführung und Anwendung dieser Software abschließen! Puh! Geht das nicht einfacher? Über eine Rahmen-BV? Über dieses praxisrelevante Thema und welche Stolperfallen hier vielleicht dennoch auf die Betriebsräte warten, sprechen Rechtsanwalt Fabian Baumgartner und Rechtsanwältin Susanna Suttner Themen der Episode: Einführung neuer Software: Was fällt alles unter „technische Einrichtung“  Mitbestimmung klug nutzen Rahmen-BV vs. Einzel-BV Datenschutz im Blick Seminarempfehlung aus dem Podcast: Seminar/ Webinar Betriebsverfassungsrecht Teil 2 https://www.waf-seminar.de/br164 Seminar Mitbestimmung bei Einführung neuer Software https://www.waf-seminar.de/br514

Consultorio bursátil de septiembre de 2025 en el que Adrián Godás y Paco Lodeiro respondemos a las preguntas de los oyentes. Las preguntas generales de este mes son sobre vender acciones para comprar casa, el préstamo de valores en DeGiro, vender acciones y rotar la cartera, emprendimiento y salud, invertir en tokenized stocks y sobre cómo aprender a invertir en commodities agrícolas. Y las dudas sobre empresas y sectores son sobre sectores en Polonia con potencial, District Metals, WAF, Metal X y Evolution, Fireweed Metals, TinyBuild, ShaMaran Petroleum y Sanu Gold, Accenture y sobre Constellation Software. Patrocinador del programa Paleobull, con código de descuento para los oyentes.

Womens Action Forum walked so Aurat March could run. You cannot write the history of feminist resistance in Pakistan without WAF!All of them are heroes of Pakistan

Tänases episoodis on külas Telia juhtiv võrgu- ja infrastruktuuri arhitekt Tarko Tikan, kellega arutame võrkude turvalisuse teemal. Räägime, mis on akronüümide IDS, IPS ja WAF taga, meepottidest, aga ka sellest, miks lihtsad lahendused nagu geoblocking või port knocking võivad mõnikord olla kõige praktilisemad. Priit ja Erik jagavad oma kogemusi koduvõrkude nähtavaks tegemisest ning Tarko annab otsekoheseid soovitusi, kuidas vältida tüüpilisi vigu.-----Jaga meile enda jaoks olulisimat mõtet episoodist meie Discord kanalis: https://discord.gg/8X5JTkDxccEpisoodi veavad Priit Liivak ja Erik JõgiAlgorütmi toetavad Patchstack https://patchstack.comNortal https://nortal.com/Veriff https://www.veriff.com/

Muss ich mich wirklich jedes Mal ab- und zurückmelden, wenn ich Betriebsratsarbeit machen? Und was passiert, wenn ich es nicht tue? Tobias Gerlach und Viara Ivanova klären auf, geben praxisnahe Tipps und werfen einen Blick auf spannende Urteile. Themen der Episode: Pflichten beim Ab- und Rückmelden Welche Angaben bei der Abmeldung wirklich nötig sind Nutzen einer Excel-Dokumentation für Ausfallzeiten Relevante BAG- und LAG-Urteile zur Abmeldung Grenzen der Dokumentation  Seminarempfehlung aus dem Podcast: Seminar/Webinar Betriebsverfassungsrecht Teil 1 https://www.waf-seminar.de/163

Diella, Texas, Movie Rip Offs, WAF, AdaptixC2, Nano11, and More, on this edition of the Security Weekly News. Visit https://www.securityweekly.com/swn for all the latest episodes! Show Notes: https://securityweekly.com/swn-511

Diella, Texas, Movie Rip Offs, WAF, AdaptixC2, Nano11, and More, on this edition of the Security Weekly News. Show Notes: https://securityweekly.com/swn-511

Diella, Texas, Movie Rip Offs, WAF, AdaptixC2, Nano11, and More, on this edition of the Security Weekly News. Visit https://www.securityweekly.com/swn for all the latest episodes! Show Notes: https://securityweekly.com/swn-511

Diella, Texas, Movie Rip Offs, WAF, AdaptixC2, Nano11, and More, on this edition of the Security Weekly News. Show Notes: https://securityweekly.com/swn-511

DDoS attacks are evolving and becoming more dangerous than ever. In this video, Osman Celik speaks with Andrey Leskin from QRator Labs about the current DDoS attack landscape and how organizations can defend themselves. You’ll learn: What DDoS attacks are and how they work across layers 3, 4, and 7 Why Layer 7 (application-layer) attacks are the fastest-growing and hardest to detect How attackers are building massive botnets (millions of compromised devices) Real-world DDoS incidents hitting FinTech, e-commerce, and media sectors The differences between scrubbing capacity and PoP proximity in mitigation How QRator Labs approaches DDoS protection with scrubbing, anti-bot, and WAF solutions With Layer 7 attacks rising by 74% year-over-year and record-breaking volumetric attacks now lasting weeks, no industry can afford to ignore this threat. Watch now to understand how to protect your business from DDoS, botnets, and evolving cyber threats.

DDoS attacks are evolving and becoming more dangerous than ever. In this video, Osman Celik speaks with Andrey Leskin from QRator Labs about the current DDoS attack landscape and how organizations can defend themselves. You’ll learn: What DDoS attacks are and how they work across layers 3, 4, and 7 Why Layer 7 (application-layer) attacks are the fastest-growing and hardest to detect How attackers are building massive botnets (millions of compromised devices) Real-world DDoS incidents hitting FinTech, e-commerce, and media sectors The differences between scrubbing capacity and PoP proximity in mitigation How QRator Labs approaches DDoS protection with scrubbing, anti-bot, and WAF solutions With Layer 7 attacks rising by 74% year-over-year and record-breaking volumetric attacks now lasting weeks, no industry can afford to ignore this threat. Watch now to understand how to protect your business from DDoS, botnets, and evolving cyber threats.

„Warst Du schon beim Inklusionsamt?“ – die Antwort schwerbehinderter Arbeitnehmer auf diese Frage lautet in der Regel: Nein. Stattdessen wird im Stillen weitergelitten oder der Konflikt eskaliert und landet beim Anwalt. Dabei könnte das Inklusionsamt in den meisten Fällen präventiv helfen. Aber was genau kann das Inklusionsamt leisten? Und was passiert, wenn jede Hilfe versagt? Diese ebenso praxisrelevanten wie oft vernachlässigten Fragen diskutieren die Anwälte Maja Lukac und Niklas Pastille, LL.M. in diesem aktuellen Podcast für die SBV. Themen der Episode: Prävention: So gelingt es – trotz Schwierigkeiten – die Arbeitsverhältnisse Schwerbehinderter zu erhalten Kündigung: Wie das Zustimmungsverfahren funktioniert Fazit aus Anwaltssicht: So reagieren Sie als SBV im Kündigungsfall richtig Seminarempfehlung aus dem Podcast: hier geht's zum W.A.F. Talk https://www.waf-seminar.de/ow720 Seminar SBV Teil 1 https://www.waf-seminar.de/221  

WAF has been halted as it is being reported the Burkino Faso government wants to take a 35% stake in its subsidiary. Equinox Gold has begun processing ore at Valentine. Magna Mining and Koryx Copper publish new drill results. Cartier Resources and Kingfisher Metals share an exploration update from their projects. This episode of Mining Stock Daily is brought to you by... Revival Gold is one of the largest pure gold mine developer operating in the United States. The Company is advancing the Mercur Gold Project in Utah and mine permitting preparations and ongoing exploration at the Beartrack-Arnett Gold Project located in Idaho. Revival Gold is listed on the TSX Venture Exchange under the ticker symbol “RVG” and trades on the OTCQX Market under the ticker symbol “RVLGF”. Learn more about the company at ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠revival-dash-gold.com⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠Vizsla Silver is focused on becoming one of the world's largest single-asset silver producers through the exploration and development of the 100% owned Panuco-Copala silver-gold district in Sinaloa, Mexico. The company consolidated this historic district in 2019 and has now completed over 325,000 meters of drilling. The company has the world's largest, undeveloped high-grade silver resource. Learn more at⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠https://vizslasilvercorp.com/⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠Equinox has recently completed the business combination with Calibre Mining to create an Americas-focused diversified gold producer with a portfolio of mines in five countries, anchored by two high-profile, long-life Canadian gold mines, Greenstone and Valentine. Learn more about the business and its operations at ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠equinoxgold.com⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ Integra is a growing precious metals producer in the Great Basin of the Western United States. Integra is focused on demonstrating profitability and operational excellence at its principal operating asset, the Florida Canyon Mine, located in Nevada. In addition, Integra is committed to advancing its flagship development-stage heap leach projects: the past producing DeLamar Project located in southwestern Idaho, and the Nevada North Project located in western Nevada. Learn more about the business and their high industry standards over at integraresources.com

Du hast deine Ausbildung fast geschafft und fragst dich, wie es danach weitergeht? Als JAV-Mitglied hast du besondere Rechte – und die können entscheidend sein, wenn es um deine Zukunft im Betrieb geht. In dieser Folge erfährst du von Tobias Gerlach und Susanna Suttner, wann dein Arbeitgeber dir eine feste Stelle anbieten muss, welche Fristen gelten und wie du dein Übernahmerecht clever durchsetzt. Themen der Episode: Fristen und Mitteilungspflichten des Arbeitgebers Was genau als „Ende der Ausbildung“ gilt Unterschied zwischen unbefristeter Vollzeitstelle und schlechteren Angeboten Rechte des JAV-Mitglieds bei unterbliebener Mitteilung Wann ein Übernahmeverlangen Erfolg hat Seminarempfehlung aus dem Podcast: Seminar JAV Teil 1 https://www.waf-seminar.de/204

The ASX 200 back below 9000 to 8967, down 52 points (0.6%) as results weighed after a long week. Banks remained firm with WBC up 0.7% and NAB slightly firmer, the Big Bank Basket drifting to $288.16 (-0.2%). Other financials also drifted lower, GQG fell 3.0% after early gains. Insurers firmed, ASX fell 2.1%, and ZIP soared 20.2% on better results. REITs were under pressure as GMG fell 4.8% on broker comments, SGP and CHC both better. Industrials slid, BXB saw some profit-taking, QAN dropped 2.1%, and ALL off 1.7%.Retail stocks also eased back, PMV down 4.0% and JBH falling 1.6%. GYG collapsed 18.2% after the results and a trading update. CTD in a trading halt awaiting some material news. Tech stocks eased back too, WTC down 1.8% and XRO continuing to fade. Down 0.6%. The All-Tech Index up 0.2%. WOW and COL under pressure. CSL resumed the downward momentum, off 4.2% as TLX trundled higher.In resources, BHP slightly lower, RIO fell 1.1%, and gold miners were mixed. WAF up 3.3% and VAU up again post results. Lithium stocks fell, PLS down 4.5% and MIN off 3.2%. Uranium stocks better, PDN up 4.3% and DYL rising 3.8%. Oil and gas firmed, coal stocks eased.In corporate news, ING dropped 20.3% as Woolies contract took its toll, HLS rallied 18.6% after results, AX1 dived 17.8% on disappointing sales growth, MVF fell 13.7% on disappointing profits and outlook.Nothing much on the economic front.Asian markets mixed again, Japan flat, China up 1.7% and HK up 0.5%European markets opening flat. US Dow futures down 18 Nasdaq down 32.Want to invest with Marcus Today? The Managed Strategy Portfolio is designed for investors seeking exposure to our strategy while we do the hard work for you. If you're looking for personal financial advice, our friends at Clime Investment Management can help. Their team of licensed advisers operates across most states, offering tailored financial planning services.  Why not sign up for a free trial? Gain access to expert insights, research, and analysis to become a better investor.

Die BR-Wahl 2026 rückt näher – höchste Zeit, einen Blick auf die aktuellen Entscheidungen von BAG und Arbeitsgerichten zu werfen. Lina Goldbach und Domenic Böhm besprechen, welche Urteile für die Praxis wichtig sind und worauf Wahlvorstände jetzt achten sollten. Themen der Episode: Was muss schon 2025 für die BR-Wahl 2026 vorbereitet werden? Eigenständiger Betriebsteil: Wann dürfen Liefergebiete einen eigenen BR wählen? Wer ist wahlberechtigt? – BAG zur Matrix-Struktur Betriebsratsgröße: Weniger Kandidaten als Sitze – was gilt? Briefwahl: enge Grenzen nach der Wahlordnung Seminarempfehlung aus dem Podcast: Seminare zur Betriebsratswahl: https://www.waf-seminar.de/betriebsratswahl

Episode 135: In this episode of Critical Thinking - Bug Bounty Podcast Justin sits down with Ryan Barnett for a deep dive on WAFs. We also recap his Exploiting Unicode Normalization talk from DEFCON, and get his perspective on bug hunting from his time at Akamai. Follow us on twitter at: https://x.com/ctbbpodcastGot any ideas and suggestions? Feel free to send us any feedback here: info@criticalthinkingpodcast.ioShoutout to YTCracker for the awesome intro music!====== Links ======Follow your hosts Rhynorater and Rez0 on Twitter: https://x.com/Rhynoraterhttps://x.com/rez0__====== Ways to Support CTBBPodcast ======Hop on the CTBB Discord at https://ctbb.show/discord!We also do Discord subs at $25, $10, and $5 - premium subscribers get access to private masterclasses, exploits, tools, scripts, un-redacted bug reports, etc.You can also find some hacker swag at https://ctbb.show/merch!Today's Sponsor - ThreatLocker. Checkout ThreatLocker Detect! https://www.criticalthinkingpodcast.io/tl-detectToday's Guest: https://x.com/ryancbarnett====== Resources ======Accidental Stored XSS Flaw in Zemanta 'Related Posts' Plugin for TypePadhttps://webappdefender.blogspot.com/2013/04/accidental-stored-xss-flaw-in-zemanta.htmlXSS Street-Fighthttps://media.blackhat.com/bh-dc-11/Barnett/BlackHat_DC_2011_Barnett_XSS%20Streetfight-Slides.pdfBlackhat USA 2025 - Lost in Translation: Exploiting Unicode Normalizationhttps://www.blackhat.com/us-25/briefings/schedule/#lost-in-translation-exploiting-unicode-normalization-44923====== Timestamps ======(00:00:00) Introduction(00:02:49) Accidental Stored XSS in Typepad Plugin (00:06:34) Chatscatter & Abusing third party Analytics(00:11:42) Ryan Barnett Introduction(00:21:11) Virtual Patching & WAF Challenges(00:40:39) AWS API Gateways & Whitelisting Bug Hunter Traffic(00:49:59) Lost in Translation: Exploiting Unicode Normalization(01:11:29) CSPs at the WAF level & 'Bounties for Bypass'

In this episode Michael, Sarah and Mark talk to Mark Kendrick about Microsoft Sentinel Data Lake. We also cover news about The Open Group - Roles and Glossary standards, Security Adoption Module 5 - Data Security, Microsoft Azure Cloud HSM, WAF and Containers, PostgreSQL and PowerBI, Azure Managed Lustre, and more. Also, Sarah mentions some Developer Security YouTube videos coming out from MS Build!https://aka.ms/azsecpod

“Detection is not the end—it's just the beginning.” — Jerry Mancini, NETSCOUT In this episode of Technology Reseller News, Publisher Doug Green speaks with Jerry Mancini of NETSCOUT about the company's latest advancements in automated threat detection and response—with a particular focus on why telecommunications networks are uniquely vulnerable and high-value targets. NETSCOUT, long known for its deep packet inspection and network performance management, is expanding the capabilities of its adaptive threat analytics—a platform designed not only to detect threats but also to assemble and contextualize them using network-level intelligence. Beyond Detection: Seeing the Full Picture While most cybersecurity tools focus on isolated detections—EDR, firewall logs, and suspicious indicators—NETSCOUT's approach centers on reconstructing the complete threat narrative across the enterprise. By capturing packet data continuously and using workflows to connect disparate detections, NETSCOUT enables investigators to: Understand the root cause and lateral movement Detect activity before and after a flagged incident Integrate signals from multiple sources (EDR, NDR, WAF, and more) Investigate threats in real time and retrospectively Why Telcos Are at Greater Risk Mancini highlights the unique role of telco infrastructure in global data movement, making them prime targets for cyber espionage and traffic manipulation. Attackers, such as the Salt Typhoon group, have used compromised routers and peering points to reroute and eavesdrop on massive data flows—impacting not just carriers but their customers across the internet. Best Practices for Threat Hunters NETSCOUT supports both bottom-up investigations (starting with a detected incident) and top-down threat hunts (searching for indicators tied to known campaigns). The platform's ability to store and search packet-level data gives teams visibility that goes far beyond typical log-based detection tools. Mancini's key advice: “You need more than alerts—you need the data to trace back, understand what happened, and act before it's too late.” Where to Learn More Visit netscout.com to explore solutions in: Network Performance Management DDoS Detection & Mitigation Adaptive Threat Analytics NETSCOUT supports both enterprise and service provider environments and is available to assist with immediate and long-term threat management strategies.

At AWS re:Inforce 2025, AWS introduced key security upgrades, including expanded identity tools, enhanced code and threat detection with Inspector and GuardDuty, and easier deployment through improved WAF and firewall features. New CISO Amy Herzog emphasized identity security, while AWS reinforced its focus on automation, secure development, and ecosystem collaboration.Time Stamps: 0:00 - Cold Open0:24 - Welcome to the Tech Field Day News Rundown1:36 - Simbian Launches First LLM Benchmark for SOC Performance6:33 - Record-Breaking 7.3Tbps DDoS Attack Hits Cloudflare Client11:56 - Qualcomm Acquires Alphawave15:51 - QuantumCTek Unveils Affordable 1,000+ Qubit Control System21:12 - Teradata Brings AI Platform to On-Premises Data Centers26:08 - Chinese Hackers Build Hidden Network Using Fake LAPD Certificates30:01 - AWS re:Inforce 2025 Highlights Security, Identity, and Automation38:55 - The Weeks Ahead42:08 - Thanks for Watching the Tech Field Day News RundownFollow our hosts ⁠⁠⁠⁠⁠⁠⁠Tom Hollingsworth⁠⁠⁠⁠⁠⁠⁠, ⁠⁠⁠⁠⁠⁠⁠Alastair Cooke⁠⁠⁠⁠⁠⁠⁠, and ⁠⁠⁠⁠⁠⁠⁠Stephen Foskett⁠⁠⁠⁠⁠⁠⁠. Follow Tech Field Day ⁠⁠⁠⁠⁠⁠⁠on LinkedIn⁠⁠⁠⁠⁠⁠⁠, on ⁠⁠⁠⁠⁠⁠⁠X/Twitter⁠⁠⁠⁠⁠⁠⁠, on ⁠⁠⁠⁠⁠⁠⁠Bluesky⁠⁠⁠⁠⁠⁠⁠, and on ⁠⁠⁠⁠⁠⁠⁠Mastodon⁠⁠⁠⁠⁠⁠⁠.

The Memorial Day weekend in the US is often considered the kickoff to the summer driving season, a period of heightened gasoline demand where families take vacations and refiners profit on healthier margins. But how is the European supply and demand balance coping with changes in the global refining picture, as some European refineries shut down while production ramps up in Africa and further afield? Senior crude specialist Joey Daly speaks with European gasoline and WAF products specialist Matthew Tracey-Cook to discuss the current market dynamics in the Atlantic Basin and how they are affecting the European gasoline market.  The Refining Scenario Manager (RSM) allows for scenario modeling of any refinery globally, to optimize trading and operational decision-making.  Links: Platts Premium 10ppm FOB Rotterdam barges PGABM00 Platts Premium 10ppm FOB Mediterranean cargoes AAWZA00Platts Gasoline STS Lome ABNWG00 Gasoline exports to West Africa fall to 2-month low amid well supplied market (subscriber content)

Radware says recently WAF bypasses were patched in 2023 Marks & Spencer confirms data stolen in ransomware attack Alabama suffers cybersecurity event  Huge thanks to our sponsor, Vanta Do you know the status of your compliance controls right now? Like...right now? We know that real-time visibility is critical for security, but when it comes to our GRC programs…we rely on point-in-time checks. But more than 9,000 companies have continuous visibility into their controls with Vanta. Vanta brings automation to evidence collection across over 35 frameworks, like SOC 2 and ISO 27001. They also centralize key workflows like policies, access reviews, and reporting, and helps you get security questionnaires done 5 times faster with AI. Now that's…a new way to GRC. Get started at Vanta.com/headlines. Find the stories behind the headlines at CISOseries.com

rWotD Episode 2871: Water associated fraction Welcome to Random Wiki of the Day, your journey through Wikipedia’s vast and varied content, one random article at a time.The random article for Friday, 14 March 2025 is Water associated fraction.The water associated fraction (WAF), sometimes termed the water-soluble fraction (W. S. F.), is the solution of low molecular mass hydrocarbons naturally released from petroleum hydrocarbon mixtures in contact with water. Although generally regarded as hydrophobic, many petroleum hydrocarbons are soluble in water to a limited extent. This combination often also contains less soluble, higher molecular mass components, and more soluble products of chemical and biological degradation.This recording reflects the Wikipedia text as of 00:19 UTC on Friday, 14 March 2025.For the full current version of the article, see Water associated fraction on Wikipedia.This podcast uses content from Wikipedia under the Creative Commons Attribution-ShareAlike License.Visit our archives at wikioftheday.com and subscribe to stay updated on new episodes.Follow us on Mastodon at @wikioftheday@masto.ai.Also check out Curmudgeon's Corner, a current events podcast.Until next time, I'm neural Arthur.

In this episode, I sit with the Head of Cloud Security Engineering at Check Point Software. Brian McHenry joined Check Point after over a decade and a half at F5 focused on WAF. Brian has been a practitioner, a Sales Engineer, and a Product Manager. Hear why Brian left F5 and joined Check Point and what he started in NY in 2016.

The Wisconsin Association of Fairs (WAF) is undergoing a major revamp to ensure the long-term success of the fair industry. Executive Director Jayme Buttke shared that this transformation is a result of careful strategic planning. "Two years ago, our board sat down and asked, 'Where do we want the next level of the fair industry to be?'" Buttke said. "We needed to take a hard look at what WAF provides and where we are going." One of the most significant changes includes a brand refresh, with a new website. "We want to make our online presence more user-friendly and incorporate modern technology," Buttke explained. "It's all about the next group of leaders—whether fair board members or exhibitors."See omnystudio.com/listener for privacy information.

Submaroach Episode 222: Koj's Engaged, Military Tech, and Fixing Nigeria After a weekend of partying Submaroach hosts TMT, Mayowa, and Koj dive into a mix of personal news, political insights, and their usual hilarious takes on life. You don't want to miss this one! Koj is Engaged! Big news—our very own Koj is officially off the market! The boys celebrate the engagement and share some laughs about love, weddings, and everything in between. Show him some love! WAF x Israel Adesanya Collab? TMT imagines how a collaboration between Nigerian skateboard brand WAF and UFC star Israel Adesanya could save Israel's career. Nigerian Military Coups & Tech Issues: TMT draws unexpected connections between Nigeria's military coups in the 80s and today's tech problems—yes, it's as wild as it sounds. Fixing Nigeria: The boys put on their problem-solving hats and discuss (probably impractical) ways to fix Nigeria's many challenges. Expect hot takes and hilarious suggestions. Churches & Money: They dive into the fragile and often controversial relationship between churches and money in Nigeria. Grammy Stuff, Trump Stuff: Some Grammy gossip, some Trump antics—it's all on the table. Koj's Court Marriage: Koj shares his experience getting legally hitched, with plenty of funny stories and insights. Pet Peeves & Bad Habits: From personal annoyances to bad habits they can't seem to shake, the boys let loose on what grinds their gears. Ending on a Nigerian Music High Note: Mayowa is something else. Tune in to Submaroach Episode 222 for laughs, life updates, and some seriously strange conversations. Don't forget to subscribe, rate, and leave a review!

Shlomo Kramer, CEO and co-founder of Cato Networks is a rare bird in the cybersecurity industry, having built three unicorns in his career. For many in the cybersecurity industry, Sholmo needs no introduction. One of the early pioneers in Israel's cybersecurity startup ecosystem, what makes Shlomo remarkable is his ability to repeatedly build category-defining companies. He first co-founded Check Point, which pioneered the firewall category and today commands a $20 billion market cap. Then, seeing the shift to the cloud, he launched Imperva, focusing on web application security (WAF). That was his second IPO. Now with Cato Networks, he's created an entirely new category called SASE – Secure Access Service Edge – and Cato has already reached over $200 million in annual recurring revenue.But Shlomo isn't just a builder – he's also a remarkably successful investor with an eye for transformative companies. His portfolio includes Trusteer, which IBM acquired for $1 billion, and Palo Alto Networks, in which he wrote the first angel check and sat on its board - a company now valued well over $100 billion dollars.In this episode, we get inside the mind of the only entrepreneur we know who's on track to potentially take his third cybersecurity company public. Many founders are satisfied with one IPO, some rarely go to two and Shlomo is on track for his third IPO - a hat trick if he pulls it off. In the cybersecurity hall of fame, very few could equal what Shlomo has accomplished.We discuss building cybersecurity companies, the evolution of the security market over the past three decades, why founders should focus on their customers instead of competitors, how building startups has changed from when Shlomo started Check Point, and many other aspects of the founder's journey. 

Tonight, the Wisconsin Association of Fairs will crown the 59th Fairest of the Fairs. Roughly three dozen young women are in the running for the position. At the WAF annual convention in the Wisconsin Dells, we caught up with outgoing Fairest Kelsey Henderson of Racine County before she passes on the crown. She reflects on her year as Wisconsin's fair ambassador. You wouldn't believe how busy she was during fair season! But since Kelsey has been attending fairs since she was in diapers, it was nothing out of the ordinary.See omnystudio.com/listener for privacy information.

CDN и DDoS-защита: взболтать, но не смешивать? Марат давно хотел выпуск про CDN, а тут ещё и повод громкий подвернулся - Cloudflare то блокируют, то не блокируют, куда податься и что делать - решительно непонятно. Поэтому в компании со знающими людьми будем разбираться, можно ли совмещать CDN и DDoS-защиту в одном флаконе. И при чём тут гномы. Кто: Георгий Тарасов, продакт CDN и антибота в Curator Про что: Я подключил CDN, но меня все равно ддосят, что я делаю не так? Layer 7 DDoS-атаки на динамику и на статику: какие у них векторы и мишени Отличия сетей CDN и сетей фильтрации трафика: архитектура, быстродействие, косты Как CDN защищают себя и клиента от перегрузок. Подпись запросов, шилдинг, шардирование. Что, если объединить системы и задачи antiDDoS и CDN? Однородный и эшелонированный подходы. Я теперь подключил WAF, но меня все равно ддосят, что опять я делаю не так? Сообщение sysadmins №53. CDN и DDoS-защита: взболтать, но не смешивать? появились сначала на linkmeup.

Episode 102: In this episode of Critical Thinking - Bug Bounty Podcast Justin grabs Jason Haddix to help brainstorm the concept of AI micro-agents in hacking, particularly in terms of web fuzzing, WAF bypasses, report writing, and more.They discuss the importance of contextual knowledge, the cost implications, and the strengths of different LLM Models.Follow us on twitter at: @ctbbpodcastWe're new to this podcasting thing, so feel free to send us any feedback here: info@criticalthinkingpodcast.ioShoutout to YTCracker for the awesome intro music!------ Links ------Follow your hosts Rhynorater & Teknogeek on twitter:https://twitter.com/0xteknogeekhttps://twitter.com/rhynorater------ Ways to Support CTBBPodcast ------Hop on the CTBB Discord at https://ctbb.show/discord!We also do Discord subs at $25, $10, and $5 - premium subscribers get access to private masterclasses, exploits, tools, scripts, un-redacted bug reports, etc.Check out our new SWAG store at https://ctbb.show/swag!Today's Guest - https://x.com/JhaddixResourcesKeynote: Red, Blue, and Purple AI - Jason Haddixhttps://www.youtube.com/watch?v=XHeTn7uWVQMAttention in transformers,https://www.youtube.com/watch?v=eMlx5fFNoYcShifthttps://shiftwaitlist.com/The Darkest Side of Bug Bountyhttps://www.youtube.com/watch?v=6SNy0u6pYOcTimestamps(00:00:00) Introduction(00:01:25) Micro-agents and Weird Machine Tricks(00:11:05) Web fuzzing with AI(00:18:15) Brainstorming Shift and micro-agents(00:34:40) Strengths of different AI Models, and using AI to write reports(00:54:21) The Darkest Side of Bug Bounty

Guest: Daniel Shechter, Co-Founder and CEO at Miggo Security Topics: Why do we need Application Detection and Response (ADR)? BTW, how do you define it? Isn't ADR a subset of CDR (for cloud)?  What is the key difference that sets ADR apart from traditional EDR and CDR tools? Why can't I just send my application data - or eBPF traces - to my SIEM and achieve the goals of ADR that way? We had RASP and it failed due to instrumentation complexities. How does an ADR solution address these challenges and make it easier for security teams to adopt and implement? What are the key inputs into an ADR tool? Can you explain how your ADR correlates cloud, container, and application contexts to provide a better  view of threats? Could you share real-world examples of types of badness solved for users? How would ADR work with other application security technologies like DAST/SAST, WAF and ASPM? What are your thoughts on the evolution of ADR? Resources: EP157 Decoding CDR & CIRA: What Happens When SecOps Meets Cloud EP143 Cloud Security Remediation: The Biggest Headache? Miggo research re: vulnerability ALBeast “WhatDR or What Detection Domain Needs Its Own Tools?” blog “Making Sense of the Application Security Product Market” blog “Effective Vulnerability Management: Managing Risk in the Vulnerable Digital Ecosystem“ book

Guest: Steve Wilson, Chief Product Officer, Exabeam [@exabeam] & Project Lead,  OWASP Top 10 for Larage Language Model Applications [@owasp]On LinkedIn | https://www.linkedin.com/in/wilsonsd/On Twitter | https://x.com/virtualsteve____________________________Host: Sean Martin, Co-Founder at ITSPmagazine [@ITSPmagazine] and Host of Redefining CyberSecurity Podcast [@RedefiningCyber]On ITSPmagazine | https://www.itspmagazine.com/sean-martinView This Show's Sponsors___________________________Episode NotesIn this episode of Redefining CyberSecurity, host Sean Martin sat down with Steve Wilson, chief product officer at Exabeam, to discuss the critical topic of secure AI development. The conversation revolved around the nuances of developing and deploying large language models (LLMs) in the field of cybersecurity.Steve Wilson's expertise lies at the intersection of AI and cybersecurity, a point he emphasized while sharing his journey from founding the Top 10 group for large language models to authoring his new book, "The Developer's Playbook for Large Language Model Security." In this insightful discussion, Wilson and Martin explore the roles of developers and product managers in ensuring the safety and security of AI systems.One of the key themes in the conversation is the categorization of AI applications into chatbots, co-pilots, and autonomous agents. Wilson explains that while chatbots are open-ended, interacting with users on various topics, co-pilots focus on enhancing productivity within specific domains by interacting with user data. Autonomous agents are more independent, executing tasks with minimal human intervention.Wilson brings attention to the concept of overreliance on AI models and the associated risks. Highlighting that large language models can hallucinate or produce unreliable outputs, he stresses the importance of designing systems that account for these limitations. Product managers play a crucial role here, ensuring that AI applications are built to mitigate risks and communicate their reliability to users effectively.The discussion also touches on the importance of security guardrails and continuous monitoring. Wilson introduces the idea of using tools akin to web app firewalls (WAF) or runtime application self-protection (RASP) to keep AI models within safe operational parameters. He mentions frameworks like Nvidia's open-source project, Nemo Guardrails, which aid developers in implementing these defenses.Moreover, the conversation highlights the significance of testing and evaluation in AI development. Wilson parallels the education and evaluation of LLMs to training and testing a human-like system, underscoring that traditional unit tests may not suffice. Instead, flexible test cases and advanced evaluation tools are necessary. Another critical aspect Wilson discusses is the need for red teaming in AI security. By rigorously testing AI systems and exploring their vulnerabilities, organizations can better prepare for real-world threats. This proactive approach is essential for maintaining robust AI applications.Finally, Wilson shares insights from his book, including the Responsible AI Software Engineering (RAISE) framework. This comprehensive guide offers developers and product managers practical steps to integrate secure AI practices into their workflows. With an emphasis on continuous improvement and risk management, the RAISE framework serves as a valuable resource for anyone involved in AI development.About the BookLarge language models (LLMs) are not just shaping the trajectory of AI, they're also unveiling a new era of security challenges. This practical book takes you straight to the heart of these threats. Author Steve Wilson, chief product officer at Exabeam, focuses exclusively on LLMs, eschewing generalized AI security to delve into the unique characteristics and vulnerabilities inherent in these models.Complete with collective wisdom gained from the creation of the OWASP Top 10 for LLMs list—a feat accomplished by more than 400 industry experts—this guide delivers real-world guidance and practical strategies to help developers and security teams grapple with the realities of LLM applications. Whether you're architecting a new application or adding AI features to an existing one, this book is your go-to resource for mastering the security landscape of the next frontier in AI.___________________________SponsorsImperva: https://itspm.ag/imperva277117988LevelBlue: https://itspm.ag/attcybersecurity-3jdk3___________________________Watch this and other videos on ITSPmagazine's YouTube ChannelRedefining CyberSecurity Podcast with Sean Martin, CISSP playlist:

How does Edge Security fit into the future of Cloud Protection ? In this episode, we sat down with Brian McHenry, Global Head of Cloud Security Engineering at Check Point at BlackHat USA, to chat about the evolving landscape of cloud security in 2024. With cloud adoption accelerating and automation reshaping how we manage security, Brian spoke to us about the challenges that organizations face today—from misconfigurations and alert fatigue to the role of AI in application security. We tackle the question: Is CSPM (Cloud Security Posture Management) still enough, or do we need to rethink our approach? Brian shares his thoughts on edge security, why misconfigurations are more dangerous than ever, and how automation can quickly turn small risks into significant threats. Guest Socials:⁠ ⁠⁠⁠⁠⁠Brian's Linkedin Podcast Twitter - ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠@CloudSecPod⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ If you want to watch videos of this LIVE STREAMED episode and past episodes - Check out our other Cloud Security Social Channels: - ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠Cloud Security Podcast- Youtube⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ - ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠Cloud Security Newsletter ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ - ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠Cloud Security BootCamp Questions asked: (00:00) Introduction (03:28) State of Cloud Market (04:44) Is CSPM not enough? (06:35) Edge Security in Cloud Context (08:31) Where is edge security going? (10:11) Where to start with Cloud Security Tooling? (11:08) Transitioning from Network Security to Cloud Security (13:11) How is AI Changing Edge Security? (14:45) How is WAF and DDos Protection evolving? (18:16) Should people be doing network pentest? (19:57) North Star for WAF in a cybersecurity program (20:55) The evolution to platformization (23:13) Highlight from BlackHat USA 2024