HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP's Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt. Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen. SSRF-Angriffe in der Praxis Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt. Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können… Britisches Zensursystem antwortet auf Header Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem [...]

2017-07-31T11:02:16+02:00Juli 31st, 2017|Allgemein, HTML, test|Kommentare deaktiviert für HTTP-Header verwirren Internetserver

Neue .blog-TLD für Blogger

Das weitverbreitetste Content Management System (CMS) für Blogger ist eindeutig Wordpress. Das dürfte der Grund sein, warum sich das Unternehmen hinter dem Open-Source-CMS, Automattic, die Vergaberechte an der Top-Level-Domain (TLD) .blog gesichert hat. Zusammen mit einem Partnerunternehmen haben die Wordpress-Macher immerhin 19 Millionen US-Dollar für dieses Recht bezahlt. Einen Teil des Kaufpreises will Automattic jetzt in der soeben begonnenen Registrierungsphase einnehmen. Wessen Wunschname unter .de, .eu oder anderen TLDs schon lange vergeben ist, der hat unter .blog noch eine gute Chance auf den bevorzugten Namen. Auch als Zusatzdomain für einen Blog könnten .blog-Domains durchaus für den einen oder anderen interessant sein. Allerdings sind die Preise hier abhängig vom Second-Level-Domainnamen. Computer.blog soll zum Beispiel satte 100.000 Dollar kosten. Andere, weniger generische oder gefragte Domainnamen gibt es schon ab 30 Dollar. Beantragen kann man .blog-Adressen bei Automattic. Beantragen mehrere Interessenten ein und dieselbe Domain, kommt es zu einer Auktion und der Höchstbietende erhält den Zuschlag. Wie immer haben Copyright-Inhaber ein Vorkaufsrecht auf ihren Markennamen. Solltet jemand die registrierte Domain aus irgendeinem Grunde die gewünschte Domain nicht erhalten, zahlt Automattic das Geld zurück. Wie viele Interessenten jetzt eine .blog-Domain haben wollen, wird man wohl erst nach dem 21. November 2016 erfahren, wenn sie öffentlich verfügbar sein werden. Screenshot: Automattic

2016-08-25T20:10:01+02:00August 25th, 2016|Allgemein|Kommentare deaktiviert für Neue .blog-TLD für Blogger

„Happy Birthday“ könnte gemeinfrei werden

Was fällt dem Webdesigner ein, wenn er Besucher einer Plattform an deren Geburtstag gratulieren möchte? Natürlich „Happy Birthday“ in einer der über hundert Varianten in Englisch, Deutsch oder meinetwegen auch in Klingonisch (gibt es wirklich!). Sobald dieser Programmierer die Begrüßung von Geburtstagskindern mit Happy Birthday in Javascript oder PHP online gestellt hat, dürften sich dann der Musikriese Warner mit einer in der Regel vierstelligen Rechnung bei ihm melden, denn die Burschen glauben, sie hätten das Copyright auf den fast 100 Jahre alten Gassenhauer und kassieren damit jährlich zwei Millinen Dollar. Einige Künstler sehen das anders und haben nach einem Bericht von Heise vor einem amerikanischen Gericht geklagt – mit guten Aussichten, daß Happy Birthday bald gemeinfrei ist und ohne Lizenzgebühren benutzt werden darf.

2015-08-24T10:20:39+02:00August 24th, 2015|Allgemein, Javascript, PHP|Kommentare deaktiviert für „Happy Birthday“ könnte gemeinfrei werden

Einbetten fremder Inhalte verletzt Copyright nicht

In seinem Grundsatzurteil vom 21. Oktober hat der Europäische Gerichtshof (EuGH) entschieden, dass das Einbetten von auf anderen Internetseiten öffentlich zugänglichen geschützten multimedialen Inhalten in die eigene Internetseite per Framing keinen Urheberrechtsverstoß darstellt (Az. C-348/13). Man versteht darunter das Einbinden von Multimediadateien wie zum Beispiel Videos in einen Frame der eigenen Webseite. Das machen besonders Blogger oder Menschen in Sozialen Netzen häufig mit Youtube-Videos, deren Einbettungscode man zu dem Zweck auch schon direkt per Cut and Paste in die eigene Internetseite kopieren kann. Der multimediale Inhalt (in diesem Fall das Video) wird dabei auch nicht auf den eigenen Server kopiert, sondern von seiner Originaladresse geladen. Dieses Urteil des EuGHg hat entscheidende Bedeutung für die Sozialen Medien unserer Zeit, die bei einem anderen Urteil hätten geändert werden müssen. Setzt man zum Beispiel auf Facebook oder Twitter einen Link auf ein YouTube-Video, dann wird dort auch gleich das ganze Video eingebettet und angezeigt. Während das Setzen von Links auf normales urheberrechtlich geschütztes Material in früheren Urteilen schon immer für rechtmäßig gehalten wurde, traute sich der Bundesgerichtshof eine eigene Entscheidung darüber für solche eingebetteten Videos nicht selbst zu, obwohl es technisch gesehen eigentlich nichts anderes ist. In Einzelfällen hatten deutsche Gerichte darin bis zu diesem Urteil sogar eine Urheberrechtsverletzung gesehen, deshalb war es dringend [...]

2014-10-25T19:26:25+02:00Oktober 25th, 2014|Allgemein|Kommentare deaktiviert für Einbetten fremder Inhalte verletzt Copyright nicht

HTML5 – die Tags header und footer

Die Tags <header> und <footer> sind zwei der neuen semantischen Tags in HTML5, die im Zusammenhang mit dem ebenfalls neuen Tag <section> zu sehen sind. Der <header>-Tag beschreibt den Kopf einer Section oder eines ganzen Dokuments. Der Tag informiert insbesondere die Suchmaschinen über den Inhalt einer Sektion oder des Dokumentes. Darin sollten beispielsweise die Überschriften von Artikeln oder des ganzen Dokuments stehen. Der <footer>-Tag informiert über relevante Links zum Thema einer Sektion oder eines Dokuments und enthält auch Angaben zum Copyright. Beide Tags können im HTML-Dokument oder innerhalb von <section> stehen und sind besonders bei der Suchmaschinenoptimierung (SEO) neue, interessante Hilfmittel für den Ersteller von Internetseiten.

2012-05-20T10:31:38+02:00Mai 20th, 2012|HTML|Kommentare deaktiviert für HTML5 – die Tags header und footer
Nach oben