Tag Archives: header

Google 的 www.google.com 要上 HSTS 了

Google 宣佈 www.google.com 要上 HSTS 了:「Bringing HSTS to www.google.com」。 雖然都已經使用 EFF 的 HTTPS Everywhere 在跑確保 HTTPS,但這個進展還是很重要,可以讓一般使用者受到保護... Google 的切換計畫是會逐步增加 HSTS 的 max-age,確保中間出問題時造成的衝擊。一開始只會設一天,然後會逐步增加,最後增加到一年: In the immediate term, we’re focused on increasing the duration that the header is active (‘max-age’). We've initially set … Continue reading

Posted in Computer, Murmuring, Network, Search Engine, Security, Software, WWW | Tagged , , , , , , , , , , , , | Leave a comment

舊 bug 新名字:httpoxy

依照慣例,security issue 都會取個名字,這次叫做 httpoxy:「A CGI application vulnerability for PHP, Go, Python and others」。 事情發生在兩個命名變數上的衝突: RFC 3875 (The Common Gateway Interface (CGI) Version 1.1) 定義了 CGI 環境會把 Header 裡的 Proxy 欄位放到環境變數裡的 HTTP_PROXY。 而很多程式會拿環境變數裡的 HTTP_PROXY 當作 proxy 設定。 這件事情 2001 年在 libwww-perl … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

CloudFlare 宣佈支援 HTTP/2 的 Server Push

CloudFlare 宣佈支援 HTTP/2 的 Server Push:「Announcing Support for HTTP/2 Server Push」。 如同預期的 (最簡單的方式),是透過 HTTP header 標示,也就是透過 rel=preload 辨識: Link: </asset/to/push.js>; rel=preload; 可以看到沒有 Server Push 與有 Server Push 的效能差異:

Posted in CDN, Cloud, Computer, Murmuring, Network, WWW | Tagged , , , , , , , , , | 1 Comment

Google 在愚人節玩笑中造成的安全問題...

Google 在愚人節時拿出養很久不知道做什麼的 domain 出來用:「https://com.google/」,但也因此造成了安全性問題:「Google’s April Fool’s prank inadvertently broke their security」。 問題在於正常的 Google 頁面有這個 HTTP header 可以避免 iframe (以及 clickjacking): X-Frame-Options: SAMEORIGIN 但在加上 igu=2 的參數後不會有這個 HTTP header。雖然現在已經失效了,但當天也被 Netcraft 通報 XD

Posted in Browser, Computer, Joke, Murmuring, Network, Recreation, Search Engine, Security, Software, WWW | Tagged , , , , , , , | Leave a comment

要瀏覽器不要送出 Referrer 的 Referrer Policy

在讀「The No CAPTCHA problem」這篇的時候看到的:「Referrer Policy」。 <meta name="referrer" content="never"> 目前正式版本的瀏覽器中,只有 Google Chrome 有支援,而其他瀏覽器正在開發,像是 Firefox 上個月才進 trunk:「Bug 704320 - Implement <meta name="referrer">」,預定在 36 版才會納入 (目前是 34)。 還蠻新的 HTML5 標準 (還在制定),可以來定期追進度...

Posted in Browser, Computer, Firefox, GoogleChrome, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , | Leave a comment

Bitcoin 電子錢包的初始化加速

因為從以前到現在的歷史記錄都被累積起來,Bitcoin 電子錢包初始化所需要的時間變得很長,所以就有不少方法想要改善。 在「Bitcoin Blockchain Initial Sync Time Dramatically Reduced By Headers-First Sync」這篇文章裡面提到了一些事情。 目前的歷史記錄大約是 22GB,文章裡說平均是兩天可以跑完 (我自己是跑了五天...),但另外一個方法則是可以透過「[ANN] Bitcoin blockchain data torrent」這邊提供的 BitTorrent 方式下載記錄 import 進去,這樣就有機會縮短到 4 小時。 另外被提出來的方案是減少傳輸量先確認。而且這個方法已經被 merge 進官方的 client 了:「Headers-first synchronization」,過陣子來測看看速度如何...

Posted in Computer, Financial, Murmuring, Network, P2P, Software | Tagged , , , , , , , | Leave a comment

Amazon CloudFront 的新增功能

Amazon CloudFront 新增了 Whitelist Header 的功能:「Deliver Custom Content With CloudFront」。 如同在 post 裡說明的: If you choose the Whitelist option, each header that you add to the list becomes part of the cache key for the URLs associated with the distribution. … Continue reading

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , | Leave a comment

HTTP Header 裡的 Location 使用相對路徑...

HTTP Response Header 的 Location (俗稱「轉址」) 被用在不少地方,剛好今天被 ccn 戳到相關的問題... 在維基百科的「HTTP location」條目裡面有說明 HTTP/1.1 的規範裡要求必須是 absolute URI: Location = "Location" ":" absoluteURI 但實務上,目前市場上常見的瀏覽器都支援相對路徑。而且在 HTTP/1.1 修正版 (目前還在 draft) 裡被修正成: Location = URI-reference 並且說明 relative 時的判定方式: The field value consists of a single URI-reference. … Continue reading

Posted in Browser, Computer, Murmuring, Network, Programming, Software, WWW | Tagged , , , , , , , | Leave a comment

HTTP Header 裡與安全相關的 Header 的分析...

還是在 Zite 上看到的,對最大的一百萬個網站分析與安全有關的 HTTP Header:「Security Headers on the Top 1,000,000 Websites: November 2013 Report」。 數字大致上都有增加,不過對我來說的重點在於有列出所有與安全有關的 HTTP Header... 可以看到有這幾個: Access-Control Content-Security-Policy Strict-Transport-Security X-Content-Security-Policy X-Frame-Options X-Webkit-CSP 剛好可以拿來 review 設定...

Posted in Browser, Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

送出 ooxx HTTP Header 提升安全性...

現在的 browser 支援一堆 HTTP Header 規格,用來防堵各種安全性問題。在「SecureHeaders」看到一包 Ruby Gems,可以針對這堆規格一次搞定,包括了: Content Security Policy (CSP),CSP 1.1。 HTTP Strict Transport Security (HSTS),HSTS Spec。 X-Frame-Options (XFO),HTTP Header X-Frame-Options。 X-XSS-Protection,Cross-Site Scripting Filter。 X-Content-Type-Options,MIME-Handling Change: X-Content-Type-Options: nosniff (Windows)。 就算不是用 Ruby 的人也可以拿文件說明的部份當入口,評估看看系統有哪些地方可以加強。

Posted in Browser, Computer, Murmuring, Network, Programming, Security, Software, WWW | Tagged , , , , , , , | Leave a comment