Vermutlich interessant für alle die mit CDNs arbeiten

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1088

13.02.2018 - 15:39

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12070

13.02.2018 - 15:46

Gibt es das auch als tl;dr-Variante ohne sinnlose "Information" ueber seinen Hund?

Edith meint: OK, ich habe https://www.blackhat.com/docs/us-17...tion-Attack.pdf ausgegraben.

Auf Slide 27 der leider fuer sich stehend nicht wirklich aussagekraeftigen Praesentation steht:

Zitat
Conditions
• Web cache functionality is set for the web application to cache static files
based on their extensions, disregarding any caching header

Soll das wirklich alles sein? Wenn ja, dann fasse ich zusammen: "If you do caching wrong, you do caching wrong. There might be consequences."

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1088

13.02.2018 - 15:52

tl;dr:
https://youtu.be/mroq9eHFOIU?t=401

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1088

13.02.2018 - 16:05

Zitat aus einem Post von COLOSSUS
Gibt es das auch als tl;dr-Variante ohne sinnlose "Information" ueber seinen Hund?

Edith meint: OK, ich habe https://www.blackhat.com/docs/us-17...tion-Attack.pdf ausgegraben.

Auf Slide 27 der leider fuer sich stehend nicht wirklich aussagekraeftigen Praesentation steht:

Soll das wirklich alles sein? Wenn ja, dann fasse ich zusammen: "If you do caching wrong, you do caching wrong. There might be consequences."

Ohne dir Nahe treten zu wollen: bist du mit dem Verständnis geboren worden, jegliche Attacke im Vorfeld zu behirnen?

Falls Ja, dann zieh ich gerne den Hut!
Aus meiner Sicht: ich freue mich immer darüber Aufmerksam gemacht zu werden bzw. die Chance zu haben mir weiteres Wissen anzueignen.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12070

13.02.2018 - 16:10

Nein, das bin ich nicht. Aber wenn mir mein Origin "Cache-Control" auf "private" und "no-cache" setzt, und ich dann entscheide, dass die zugehoerige Request-URI ja doch /\.jpg$/ matcht, und ich dann halt froehlich Cache - dann sollte ich echt kein CDN betreiben.

Wenn ich stattdessen nicht in der Lage bin, als Origin richtige Header-Information vor sensitive, userspezifische Daten zu stecken, dann sollte ich vielleicht gar kein Web-Service betreiben.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1088

15.02.2018 - 05:52

Zitat aus einem Post von COLOSSUS
dann sollte ich vielleicht gar kein Web-Service betreiben.

Interessant! Bitte werte meine bisherige Abstinenz einer Antwort nicht als Zustimmung!
Ich versuche noch immer eine Antwort darauf zu formulieren wodurch du nicht den Drang hast Dich selbst zu bestrafen.

Bearbeitet von Snoop am 15.02.2018, 06:01

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12070

15.02.2018 - 17:37

Ach tu dir nix an, ich halte das bestimmt aus

Was willst du mir denn sagen mit dem Screenshot meiner so vorzueglich gestalteten Website?

Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1088	13.02.2018 - 15:39
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12070	13.02.2018 - 15:46 Gibt es das auch als tl;dr-Variante ohne sinnlose "Information" ueber seinen Hund? Edith meint: OK, ich habe https://www.blackhat.com/docs/us-17...tion-Attack.pdf ausgegraben. Auf Slide 27 der leider fuer sich stehend nicht wirklich aussagekraeftigen Praesentation steht: Zitat Conditions • Web cache functionality is set for the web application to cache static files based on their extensions, disregarding any caching header Soll das wirklich alles sein? Wenn ja, dann fasse ich zusammen: "If you do caching wrong, you do caching wrong. There might be consequences."
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1088	13.02.2018 - 15:52 tl;dr: https://youtu.be/mroq9eHFOIU?t=401
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1088	13.02.2018 - 16:05 Zitat aus einem Post von COLOSSUS Gibt es das auch als tl;dr-Variante ohne sinnlose "Information" ueber seinen Hund? Edith meint: OK, ich habe https://www.blackhat.com/docs/us-17...tion-Attack.pdf ausgegraben. Auf Slide 27 der leider fuer sich stehend nicht wirklich aussagekraeftigen Praesentation steht: Soll das wirklich alles sein? Wenn ja, dann fasse ich zusammen: "If you do caching wrong, you do caching wrong. There might be consequences." Ohne dir Nahe treten zu wollen: bist du mit dem Verständnis geboren worden, jegliche Attacke im Vorfeld zu behirnen? Falls Ja, dann zieh ich gerne den Hut! Aus meiner Sicht: ich freue mich immer darüber Aufmerksam gemacht zu werden bzw. die Chance zu haben mir weiteres Wissen anzueignen.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12070	13.02.2018 - 16:10 Nein, das bin ich nicht. Aber wenn mir mein Origin "Cache-Control" auf "private" und "no-cache" setzt, und ich dann entscheide, dass die zugehoerige Request-URI ja doch /\.jpg$/ matcht, und ich dann halt froehlich Cache - dann sollte ich echt kein CDN betreiben. Wenn ich stattdessen nicht in der Lage bin, als Origin richtige Header-Information vor sensitive, userspezifische Daten zu stecken, dann sollte ich vielleicht gar kein Web-Service betreiben.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1088	15.02.2018 - 05:52 Zitat aus einem Post von COLOSSUS dann sollte ich vielleicht gar kein Web-Service betreiben. Interessant! Bitte werte meine bisherige Abstinenz einer Antwort nicht als Zustimmung! Ich versuche noch immer eine Antwort darauf zu formulieren wodurch du nicht den Drang hast Dich selbst zu bestrafen. Bearbeitet von Snoop am 15.02.2018, 06:01
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12070	15.02.2018 - 17:37 Ach tu dir nix an, ich halte das bestimmt aus Was willst du mir denn sagen mit dem Screenshot meiner so vorzueglich gestalteten Website?

Vermutlich interessant für alle die mit CDNs arbeiten

Forum Index > Software > Coding Stuff

Snoop

COLOSSUS

Snoop

Snoop

COLOSSUS

Snoop

COLOSSUS