4 Punkte von GN⁺ 2024-06-03 | 1 Kommentare | Auf WhatsApp teilen

Ein Tool, das URLs länger macht

  • Funktion: Ein Tool, das URLs sehr lang macht.
  • Entwickler: Gemeinsam von ccbikai und ChatGPT erstellt.
  • Inspiration: Inspiriert von llIlI.lI.

Meinung von GN⁺

  • Nützlichkeit: Dieses Tool kann in bestimmten Situationen nützlich sein, in denen URLs absichtlich verlängert werden müssen. Zum Beispiel lässt es sich verwenden, um Systeme zu testen, deren Verhalten sich je nach URL-Länge unterscheidet.
  • Interessanter Aspekt: Es kann die Neugier wecken, warum es überhaupt nötig sein könnte, eine URL zu verlängern.
  • Technische Überlegungen: Zu lange URLs können bei der Verarbeitung in Browsern oder auf Servern Probleme verursachen. Daher ist bei der tatsächlichen Nutzung Vorsicht geboten.
  • Alternative: Das Konzept ist das Gegenteil von URL-Shortenern; es gibt verschiedene Tools, mit denen sich die URL-Länge anpassen lässt.

1 Kommentare

 
GN⁺ 2024-06-03
Hacker-News-Kommentare
  • Ich bin der Autor. Ich wollte das selbst veröffentlichen, wusste aber nicht, dass es schon gepostet worden war.
    Während des Deployments bin ich auf ziemlich viele Probleme gestoßen, hauptsächlich im Zusammenhang mit HTTPS-Zertifikaten. Das längste Segment eines Domainnamens ist 63 Zeichen lang, und die maximale Länge des commonName in einem HTTPS-Zertifikat beträgt 64 Zeichen, daher konnten Cloudflare, Vercel und Netlify den Domainnamen nicht als commonName verwenden und keine Let's-Encrypt-Signatur erhalten, aber bei Zeabur ging es.
    Letztlich habe ich das Cloudflare-Zertifikat auf Google Trust Services LLC umgestellt und die Signatur erfolgreich erhalten. Das betreffende Zertifikat ist hier zu sehen: https://crt.sh/?q=looooooooooooooooooooooooooooooooooooooooo...

    • Let's Encrypt unterstützt seit 2023 Zertifikate ohne CN, sodass auch lange Domains vollständig unterstützt werden: https://community.letsencrypt.org/t/simplifying-issuance-for...
      Der frühere Workaround bestand darin, zusätzlich eine kürzere zweite Domain in das Zertifikat aufzunehmen, aber das war nicht immer einfach oder überhaupt möglich.
    • Nebenbei: commonName ist für Zertifikate überhaupt nicht erforderlich und praktisch deprecated/legacy.
      Letsencrypt verlangt keine commonName-Angabe; Subject Alternative Name (SAN) allein reicht aus, und SAN kann bis zu 255 Zeichen lang sein. Einige Anbieter verlangen commonName jedoch ohne besonderen Grund trotzdem.
    • Ist eine .ong-Domain nicht nur für Nichtregierungsorganisationen außerhalb Chinas registrierbar?
      [1] Maßgeblich ist https://www.godaddy.com/help/about-ong-domains-41384
    • Gefällt mir.
      Mein erster Eindruck war: „Was für ein QA-Test ist das? Was könnte kaputtgehen?“ Ich verstehe zwar, warum man den Domainnamen als commonName verwendet hat, aber ist das nicht eine veraltete Methode? Inzwischen sollte die SAN-Erweiterung von x.509 das doch abdecken, deshalb überrascht es mich etwas, dass Zertifizierungsstellen noch so an der alten Methode festhalten.
    • Beeindruckend. Wirst du auch einen E-Mail-Dienst anbieten? ^^
  • So gut gemacht, dass es fast schon nervt.
    Hier ist es: https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Warum erscheint bei einer Website für Hacker News eine Inhaltswarnung?
      1. Die Kombination aus Groß- und Kleinbuchstaben erzeugt, wenn man die Augen leicht zusammenkneift, ein ziemlich interessantes visuelles Muster.
      2. Was ist das bitte, haha
  • Die Leute brauchen wohl einen Hinweis, dass sie zuerst das Protokoll eingeben müssen. Ich habe direkt google.com eingegeben und nichts ist passiert, also dachte ich kurz, die Seite sei kaputt oder unter HN-Traffic zusammengebrochen.

    • Habe ich genauso gemacht. Warum ist das überhaupt nötig?
    • Ich verstehe es nicht. Was muss man eingeben? Ich habe auch Google.com ausprobiert und weiß nicht, was ich tun soll.
    • Stimme zu. Ich wollte schon fragen, warum es auf dem Handy nicht funktioniert, aber das war also der Grund.
  • Ich habe einmal etwas Ähnliches gebaut, um Links „verdächtig aussehen“ zu lassen.
    Die automatische Link-Erkennung könnte dabei vermutlich kaputtgehen, aber wenn man es kopiert und einfügt oder sauber verlinkt, funktioniert es.
    https://sketchylinkasdf.com/ssl_webmaster.zip/qwerty/

    • Wie wäre es mit Subdomains? Also die komplette Domain etwa als mail.com.sketchylinkasdf.com.
    • Ich bin Purple-Team-Penetrationstester und weiß nicht, ob mir diese URL mehr PTSD oder mehr Lachen auslöst.
    • Coole Seite. Ich war auf der /feedback-Seite, aber es scheint keine Möglichkeit zu geben, tatsächlich Feedback einzureichen. Habe ich etwas übersehen?
    • Es gibt noch ein paar weitere Generatoren für „verdächtige URLs“, die findet man per Suche.
  • Eine Firma namens Halibut Stuff hat früher T-Shirts mit kostenlosem E-Mail-Forwarding verkauft.
    Meine Adresse war myself@iwenttodefcon7.andalligotwas.thislousyemailaddress.com, und sie hat unzählige Anmeldeformulare kaputtgemacht. Ich habe damals im Softwaretest gearbeitet und vorgeschlagen, einen E-Mail-Dienst zu bauen, der besonders wahrscheinlich „etwas kaputtmacht“, und ihn an andere Tester zu verkaufen, habe die Idee aber wieder verworfen, weil die Leute, die ihn gebraucht hätten, ihn ihren Entscheidern wohl nur schwer hätten erklären können.

    • Nach einem zwar willkürlichen, aber gängigen Maßstab legt man E-Mail-Felder in Datenbanken meist mindestens als 100 Zeichen langes n?varchar an.
  • Die Idee, eine URL in Binärform zu kodieren und dann 0 und 1 durch O und o zu ersetzen, gefällt mir wirklich sehr. Genial.

    • Woher wusstest du das? Wo kann man das nachlesen? Habe ich etwas übersehen?
  • Eigentlich müsste das notwendige https:// im Formular schon vorausgefüllt sein.

    • Außerdem wirkt es so, als würde nur http: plus ein einziges Zeichen geprüft, was etwas verwirrend ist. Zum Beispiel wird auch https:/a zu einer „gültigen“ Domain.
  • Habe ich etwa einen Schlaganfall? Ich bin mir zu 100 % sicher, dass ich genau dieses Thema mit genau diesen Kommentaren gestern gesehen habe, aber jetzt steht bei allem „vor 5 Stunden“.

    • Das passiert, wenn ein Beitrag aus dem second-chance pool wiederbelebt wird. So wie ich es verstehe, ist die einzige Möglichkeit, den aktuellen Thread wiederzubeleben, den Zeitstempel zu ändern, was für Leute, die den früheren Thread tatsächlich gesehen haben, ziemlich verwirrend ist.
      Hier ist ein Algolia-Suchlink mit dangs Erklärung zu derselben Frage und älteren Erklärungen: https://news.ycombinator.com/item?id=36472976
    • Sie haben den Mandela-Effekt wirklich technisch umgesetzt.
  • Man sollte vorsichtig sein, wenn man solche Websites baut. Ich habe vor langer Zeit einmal etwas Ähnliches (urllengthener.sadale.net) gebaut, und die Seite wurde als „Spam-Kampagne“ gemeldet. Es stellte sich heraus, dass Spammer meine Seite missbrauchten, um Spam-Links zu erzeugen, und ich habe die Seite sofort abgeschaltet, sodass es keine weiteren Sanktionen gab.
    Das lief so: Die Spammer nutzten meinen URL lengthener als Redirect-Service, um auf eine Website weiterzuleiten, die oberflächlich wie ein unfertiges Projekt aussah, in Wirklichkeit aber nur Tarnung war. Auf dieser Website lief JavaScript, das URL-Fragment-Identifiers, also den Hash-Teil am Ende der URL, erkannte, und wenn das Fragment zu ihrer Werbung passte, wurde auf die eigentliche Spam-Werbung weitergeleitet.
    Nehmen wir zum Beispiel an, die Spammer besitzen example.org. Sie lassen meinen Service https://urllengthener.sadale.net/foobarbaz nach https://example.org weiterleiten und verschicken dann den Link https://urllengthener.sadale.net/foobarbaz#identifierXYZ als Spam an Opfer. Wenn ein Opfer darauf klickt, landet es bei https://example.org/#identifierXYZ und sieht die Werbung. https://example.org/ selbst wirkt unauffällig, und da URL-Fragmente clientseitige Elemente sind, tauchen sie auch nicht in HTTP-Server-Logs auf. Ohne diese Meldung über den Spam-Missbrauch hätte ich das vermutlich nie herausgefunden, daher bin ich im Nachhinein fast dankbar dafür.
    Zur Klarstellung: example.org ist keine echte Spam-Seite, sondern nur eine Beispieldomain. Wenn ich irgendwann Zeit habe, sollte ich das einmal aufschreiben. Ich habe diesen Service außerdem getestet, und es sieht so aus, als könne er auf exakt dieselbe Weise missbraucht werden wie meine Seite. Ich würde dringend empfehlen, zumindest Redirects mit URL-Fragment-Identifiers zu deaktivieren. Ein Beispiel für möglichen Missbrauch: https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Du sagst, du hättest „die Seite abgeschaltet, sodass es keine weiteren Sanktionen gab“ — mit welchen Sanktionen von wem hast du denn gerechnet?
    • Worin unterscheidet sich das von GET-Parametern in einer URL? Ich frage mich, ob das nur für URL-Fragmente relevant ist. JavaScript kann schließlich auch URL-Parameter parsen, und eine Spam-Seite könnte das auch über Rewrites im Pfadteil missbrauchen.
    • Ja. Traurig, aber wahr: Man muss wohl nur warten, bis ein böswilliger Akteur diesen Dienst für schlechte Zwecke missbraucht, in 3... 2... 1...
  • Könnte man es mit Subdomains nicht noch loooonger machen?
    Soweit ich weiß, dürfen Domains bis zu 255 Zeichen lang sein.
    https://a.lot.looooooooo(...)nger.than.looooooooo(...).ng

    • Für die Gesamtlänge einer URL gibt es praktische Obergrenzen [0], und die liegen deutlich über 255 Zeichen. Der Pfadteil einer URL kann innerhalb dieser Grenze beliebig lang werden, daher wäre es unnötig einschränkend, nur Subdomains zu verwenden, und auch eine zusätzliche Kombination bringt keinen besonderen Vorteil.
      [0] https://stackoverflow.com/questions/417142/what-is-the-maxim...