Matt Baer @matt

1 post1 participant0 posts today

**Knowledge Zone** @kzoneind@mstdn.social · 2d

Knowledge Zone @kzoneind@mstdn.social

#QuizOfTheDay: #HTTP is the foundation of data communication for the World Wide Web. #Internet101

What does HTTP stand for?

A. Hypertext Transfer Protocol
B. Hypertext Transfer Pace
C. Hyper Transfer Text Protocol
D. HTML Transfer Protocol

https://knowledgezone.co.in/resources/quiz?qId=62c15af1f9400e255bd192ec

**Felix Palmen** @zirias@bsd.cafe · Mar 31

Mar 31

Felix Palmen @zirias@bsd.cafe

Trying to come up with my own little self-hosted #http #authentication #daemon to work with #nginx' "authentication request" facility ... first step done!

Now I have a subset of HTTP 1.x implemented in #C, together with a dummy handler showing nothing but a static hello-world root document.

I know it's kind of stubborn doing that in C, but hey, #coding it is great fun

https://github.com/Zirias/swad

Simple Web Authentication Daemon. Contribute to Zirias/swad development by creating an account on GitHub.

GitHubGitHub - Zirias/swad: Simple Web Authentication DaemonSimple Web Authentication Daemon. Contribute to Zirias/swad development by creating an account on GitHub.

**Max Resing** @resingm@infosec.exchange · Mar 31

Mar 31

Max Resing @resingm@infosec.exchange

Posted about it yesterday already. But it looks like archive.today shows the default page of #Apache #webserver on #Ubuntu. The alternative domain name archive.is instead redirects with a 301 - Moved Permanently to a new domain krola.org, a website apparently comparing pet rabbit species?? It's also interesting, that the redirect to the new domain responds with an #HTTP header server: nginx/1.18 (Ubuntu). Apparently, the default Apache landing page also returns the same HTTP header information on the server. Perhaps the landing page is a decoy/deflection?

Anyone on #infosecexchange has any speculations on the website?

#InternetArchive #ArchiveOrg #ArchiveToday

**𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕** @kubikpixel@chaos.social · Mar 30

Mar 30

𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕 @kubikpixel@chaos.social

Anubis: self hostable scraper defense software

Weigh the soul of incoming HTTP requests using proof-of-work to stop AI crawlers

https://anubis.techaro.lol

anubis.techaro.lolMaking sure you're not a bot!

#anubis #http #pow

**madiator2011** @madiator2011@shark.madiator.com · Mar 25

Mar 25

madiator2011 @madiator2011@shark.madiator.com

From: blenderdumbass . org

The multiplayer, or the lack there of, at the moment is so utterly broken and so lacking of being properly made that for a long time, I was just not bothering with it. Seeing it as something unnecessary. Something that does not need to be touched, because other things, like the...

Read or listen: https://blenderdumbass.org/articles/a_rant_about_making_a_multiplayer_game

#Gamedev #DanisRace #Networking #Multiplayer #TCP #HTTP #Programming #Python #UPBGE #Blender3d #GNU #Linux #GamingOnLinux #FreeSoftware #OpenSource

blenderdumbass . orgA Rant About Making a Multiplayer Game

More from

Blender Dumbass ( J.Y.Amihud )

#Gamedev #DanisRace #Networking

**Agyei Gyasi** @amblergee@indieweb.social · Mar 20

Mar 20

Agyei Gyasi @amblergee@indieweb.social

After weeks of success, automated HTTP requests to "https://doge.gov/savings" are being by 403 Forbidden error. DOGE server down?? IP blocking??

DOGE: Department of Government EfficiencyDOGE: Department of Government EfficiencyDOGE: Department of Government Efficiency

#doge #http #request

**Jules Enriquez** @w8l@scalie.zone · Mar 17

Mar 17

Jules Enriquez @w8l@scalie.zone

HTTP status codes but as cats:
https://http.cat/

HTTP Status Cats APIHTTP CatsAPI for HTTP Cats

#web #http #cats

**Stéphane Bortzmeyer** @bortzmeyer@mastodon.gougere.fr · Mar 17

Mar 17

Stéphane Bortzmeyer @bortzmeyer@mastodon.gougere.fr

RFC 9745: The Deprecation HTTP Header Field

Ce nouveau champ de l'en-tête #HTTP sert à indiquer que la ressource demandée va être (ou a été) abandonnée et qu'il faut penser à migrer. Il sert surtout pour les #API HTTP.

#RFC

https://www.bortzmeyer.org/9745.html

www.bortzmeyer.orgBlog Stéphane Bortzmeyer: RFC 9745: The Deprecation HTTP Header Field

**Hacker News 50** @hn50@social.lansky.name · Mar 17

Mar 17

Hacker News 50 @hn50@social.lansky.name

HTTP/3 is everywhere but nowhere

Link: https://httptoolkit.com/blog/http3-quic-open-source-support-nowhere/
Discussion: https://news.ycombinator.com/item?id=43360251

httptoolkit.com · Mar 12HTTP/3 is everywhere but nowhere HTTP/3 has been in development since at least 2016, while QUIC (the protocol beneath it) was first introduced by Google way back in 2013. Both are now...

#http

Replied in thread

**Jan Schaumann** @jschauma@mstdn.social · Mar 15

Mar 15

Jan Schaumann @jschauma@mstdn.social

System Administration

Week 7, HTTP and CDNs

After discussing the DNS, we now move on to #HTTP and HTTPS. While we don't have videos for these sections, hopefully the lecture slides can help you get an idea of what we're covering there. We review the basic HTTP protocol, peek at #QUIC and H3, and talk about load balancing and content delivery networks:

https://stevens.netmeister.org/615/07.pdf

#SysAdmin #DevOps #SRE

**@reiver ⊼ (Charles)** @reiver@mastodon.social · Mar 15

Mar 15

@reiver ⊼ (Charles) @reiver@mastodon.social

programming, http query

**𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕** @kubikpixel@chaos.social · Mar 14 *

Mar 14 *

𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕 @kubikpixel@chaos.social

How browsers REALLY load Web pages

When browsers load a Web page and its subresources, A LOT happens under the hood. They need to take into account render/parsing blocking resources, use a preload scanner, listen to resource hints (like preload/preconnect), loading modifiers (async/defer/module), fetchpriority, responsive images, and much more. […]

https://fosdem.org/2025/schedule/event/fosdem-2025-4852-how-browsers-really-load-web-pages/

fosdem.orgFOSDEM 2025 - How browsers REALLY load Web pages

#video #web #browser

**𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕** @kubikpixel@chaos.social · Mar 14

Mar 14

𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕 @kubikpixel@chaos.social

HTTP/3 is everywhere but nowhere

HTTP/3 has been in development since at least 2016, while QUIC (the protocol beneath it) was first introduced by Google way back in 2013. Both are now standardized, supported in 95% of users' browsersopens in a new tab, already used in 32% of HTTP requests to Cloudflareopens in a new tab, and support is advertised by 35% of websitesopens in a new tab (through alt-svc or DNS) in the HTTP Archive dataset

https://httptoolkit.com/blog/http3-quic-open-source-support-nowhere/

#webdev #http #http3

**Erik van Straten** @ErikvanStraten@infosec.exchange · Mar 13 *

Mar 13 *

Erik van Straten @ErikvanStraten@infosec.exchange

@maartjeS :

nee, dat is beslist niet stom! Er zijn maar weinig mensen die hier iets van snappen, en dat is precies het probleem.

Ook ervaren idioten zoals ik moeten te vaak diep graven om te zien of een website echt is of nep, en soms blijkt dat onmogelijk (zoals bij sommige webshops).

Als we naar het centrum gaan en daar een pand zien waarop "ING" of "HEMA" staat, dan zijn we *GEWEND* dat daar géén oplichtersbende in zit.

Ons risico om te worden belazerd is laag, omdat kwaadwillenden niet eenvoudig een pand kunnen huren, zoiets snel aan het licht komt en de pakkans groot is.

Maar zou jij geld pinnen uit een Geldmaat bevestigd aan de buitengevel van een pand van de Hells Angels gevestigd tussen een autosloperij en een pallethandel?

Op internet is de *ENIGE* aanwijzing die we hebben over de identiteit van een website, de domeinnaam die we zien in de adresbalk van de browser. We hebben géén idee meer waar een server staat en wat de nationaliteit van de huurder van de domeinnaam is.

On precies te zijn, een in DNS geldige website-domeinnaam is een (potentieel nietszeggende of juist misleidende) reeks karakters hooguit bestaande uit:

1) kleine letters (a-z);
2) cijfers (0-9);
3) het minteken;
4) de punt als *scheidingsteken*.

Een domeinnaam is een *alias* voor een IP-adres, net als "Maartje" in mijn lijst met contacten een alias is voor een telefoonnummer (ik vermoed een ander telefoonnummer achter "mijn" Maartje).

Stel Maartje neemt morgen een ander telefoonnummer, en een ander krijgt haar oude nummer. Als ik vervolgens "Maartje" bel, krijg ik een ander aan de lijn (als ik pech heb is dat iemand die m.b.v. AI de stem van Maartje exact imiteert en mij misleidt). Dit is een van de problemen met domeinnamen: soms vallen ze in verkeerde handen (zie https://security.nl/search?origin=frontpage&keywords=verlopen+domeinnaam).

Domeinnamen hebben een bijzondere eigenschap: ze zijn (als alles goed gaat) wereldwijd uniek - in tegenstelling tot "Maartje" of "Erik van Straten".

DNS is het wereldwijde "telefoonboek" om (onder meer), gegeven een domeinnaam, het huidige IP-adres van de server (waar de website actief op is) op te zoeken. Want computers op internet communiceren met elkaar middels IP-adressen, net zoals mobieltjes daar telefoonnummers voor gebruiken.

Het probleem blijft dat domeinnamen nietszeggend of bewust misleidend kunnen zijn (enkele "verse" voorbeelden in de screenshot onderaan deze toot).

Precies daarom gebruiken de meeste banken EV (Extended Validation) website-certificaten. Het laatste certificaat voor rabobank.nl zie je in https://crt.sh/?id=16445752040 (merk op dat dit certificaat geldig is voor maar liefst 155 verschillende domeinnamen, die je vindt door in die pagina te zoeken naar DNS: ).

Een website-certificaat kun je prima vergelijken met een *kopie* van een paspoort. De server stuurt dit ongevraagd naar de browser.

Er volgt echter een slimme wiskundige truc: de server *bewijst* aan de browser over het *originele* paspoort te beschikken (feitelijk een "private key"). Een crimineel heeft dus niets aan zo'n kopie.

In dat paspoort kunnen minder of meer gegevens staan (V staat voor Validated):

a) Domain V: alleen de domeinnaam (of meerdere domeinnamen).

b) Organization V: de domeinnaam/namen plus matig betrouwbare identificerende gegevens van de eigenaar van de website.

c) Extended V: de domeinnaam/namen plus redelijk betrouwbare identificerende gegevens van de eigenaar van de website.

d) QWAC (https://en.wikipedia.org/wiki/Qualified_website_authentication_certificate): de domeinnaam/namen plus maximaal betrouwbare identificerende gegevens van de eigenaar van de website.

Alles valt of staat met de betrouwbaarheid van de *certificaatuitgever* (een gemeenteambtenaar die valse paspoorten aan criminelen verkoopt kan ook desastreus zijn voor het vertrouwen in het systeem, voorbeeld: https://www.security.nl/posting/800253/Ambtenaar+die+valselijk+paspoorten+opmaakte+veroordeeld+tot+32+maanden+cel).

——————

Technisch uitstapje (als je nog zin hebt):

DNS snapt niets van IDN's (International Domain Names). Punycode is een truc in browsers om toch met "nep" domeinnamen zoals

https://münchen.de
en
https://βιβλιοχαρτοπωλειον.ελ (een Griekse "domeinnaam")

te kunnen werken. "Onder water" wordt daarvoor Punycode gebruikt, volgens https://www.charset.org/punycode zijn dat resp.

https://xn--mnchen-3ya.de
en
https://xn--mxabanrbcmcwrbdkn2c8b1b.xn--qxam

In certificaten voor IDN's vind je (stom genoeg) uitsluitend de Punycode representatie. Het is allemaal zo gemaakt dat het simpel *lijkt* - maar niet is, en dat is meestal iets waar criminelen van profiteren.

Ten slotte nog een wijdverbreid fabeltje: "met een certificaat wordt de https:// verbinding versleuteld". Dat is, al vele jaren, pertinente onzin.

Een (server- of client-) certificaat wordt uitsluitend gebruikt voor authenticatie (van de server of de client), het leveren van *bewijs* van identiteit.

Bij de moderne TLS v1.3 (waar steeds meer servers gebruik van maken voor https://) wordt de verbinding zelfs éérst versleuteld; pas dáárna stuurt de server diens kopie-paspoort (een kopie van het certificaat) naar de browser - over de reeds versleutelde verbinding dus.

P.S. emojies toegevoegd in een poging om de droogte van het technische geneuzel te beperken

@ErikSchouten73