19 agosto 2010

Analizando cabeceras HTTP 'just for fun'

Para cualquier persona 'normal' navegar implica abrir un navegador, poner una URL y visualizar la web, lo que sucede entre el navegador y el servidor web para llegar a ese punto normalmente es una conversación HTTP orientada 'a maquinas'.

Aun así resulta curioso dedicar un rato a ojear en modo crudo el flujo del protocolo HTTP para descubrir cosas extrañas.

Primer caso: 'Cookies antediluvianas'

Ignoro el porqué de este tipo de cookies, pero como ya me las he encontrado en varios servidores, supongo que alguna razón de ser habrá, el caso es que ojeando por ejemplo la red social profesional www.linkedin.com nos encontramos con esta extraña cookie (click en la foto para ampliar):

s_leo_auth_token="delete me"; Version=1; Max-Age=0; Expires=Thu, 01-Jan-1970


Una cookie que lleva 'expirada' desde 1970

Otro caso de cookies caducadas http://es.yahoo.com


En este caso, del año pasado. Sin duda, alguna razón debe haber, tal vez sea un método de prueba del servidor web para validar que tienes activada la creación de cookies

Segundo caso: Una de Pareidolias

Este ejemplo está cogido con alfileres y sin duda es pura sugestión mental del 'querer ver'. El caso de www.bing.com que en su política P3P (una especie de información donde se indica el uso que se va a hacer de la información obtenida) se puede leer en el banner 'STA LOC CURA'


Tercer caso: El site de contactos y experimentos

Para el que no lo sepa, www.adultfriendfinder.com es un sitio web de contactos, donde 'Papa y Mama' buscan amiguitos mientras sus hijos montan orgías en Tuenti. En el caso de adultfriendfinder lo extraño que se puede ver es en el header ETAG. Si ojeamos la wikipedia podemos ver que ETAG se emplea para optimizar el uso de la cache de un site web, y sobre el header ETAG: 'is an opaque identifier assigned by a web server to a specific version of a resource' vamos que cada servidor web asigna el valor como quiere, lo normal es encontrarse números grandes o strings sin sentido, en el caso de adultfriendfinder nos encontramos como valor 'TESTBED'


Según la wikipedia un 'TESTBED' es un entorno controlado para hacer pruebas científicas reproducibles (is a platform for experimentation of large development projects. Testbeds allow for rigorous, transparent, and replicable testing of scientific theories, computational tools, and new technologies).

Cuarto caso: Headers para 'Hackers'

El caso mas obvio de modificación con intención de que alguien lo vea lo podemos encontrar en Wordpress.com, que añade el siguiente Header:
X-hacker: If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.


Una curiosa y divertida forma de reclutar personal

22 comments :

Anónimo dijo...

Curiosa y divertida entrada. Seguro que si leemos algunas cookie al reves podemos invocar al angel "caido" :P.

RoMaNSoFt dijo...

El primer caso no es nada raro: es la forma estándar para borrar una cookie.

Es decir, si la cookie existe en el navegador, éste actualiza su fecha de expiración y acto seguido la borrará puesto que está expirada. Resultado: cookie borrada :)

Saludos,
@roman_soft

reverseskills dijo...

La de Wordpress la conocía, por si te vale para la entrada :

http://www.ietf.org/rfc/rfc2109.txt
--
HTTP/1.1 servers must send Expires: old-date (where old-date is a
date long in the past) on responses containing Set-Cookie response
headers unless they know for certain (by out of band means) that
there are no downsteam HTTP/1.0 proxies. HTTP/1.1 servers may send
other Cache-Control directives that permit caching by HTTP/1.1
proxies in addition to the Expires: old-date directive; the Cache-
Control directive will override the Expires: old-date for HTTP/1.1
proxies.

--

Y otra curiosidad :
http://www.google-watch.org/cgi-bin/cookie.htm

Buen trabajo!

Anónimo dijo...

Ademas, en el primer caso, es la fecha utilizada como parametro inicial en la hora Unix. Es muy utilizada para este tipo de menesteres.

Emilio Casbas dijo...

Divertido. Pero extraño que no se mencionaran las conocidas X-Fry X-Leela, X-Bender y demás de barrapunto.

Yago Jesus dijo...

@Emilio, tienes toda la razón, lo hice mirando el top 500 de Alexa y pese a que miré también algunas web hispanas, no caí en Barrapunto. Mea culpa

lost-perdidos dijo...

"...donde 'Papa y Mama' buscan amiguitos mientras sus hijos montan orgías en Tuenti..."

¿Ese "guiño" va para algún amigo / familiar del blog? No os emocionéis tanto, sensacionalistas.

Yago Jesus dijo...

@lost-perdidos da un par de pasitos hacia atrás (por ganar en perspectiva) y ahora intenta aplicar tu zona cerebral sarcástica al comentario. ¿A que ahora ya le encuentras la gracia?

lost-perdidos dijo...

Si doy pasos hacia atrás, entonces me sitúo en tu nivel cerebral.

Ese tipo de comentarios lo reirán tus 4 blog-amigos, que son igual de fantasmas que tú.

Y publiques o no mi comentario, me habrás leído igualmente! :)

Yago Jesus dijo...

@lost-perdidos Gracias por tu sesuda y valiosa aportación. Por favor, no pierdas nunca tu sentido crítico. Nos ayuda a mejorar

falta_hunor dijo...

Pues yo me he 'desocojorronciado' con el sarcasmo de adultfinder y tuenti. Aqui a alguien le falta algo de eso que tu y yo sabemos: sentido del humor. O eso o es un bot sin ningún sentido del humor. 'Amos anda'.

pd: o quizá no le hayan admitido en la prueba de x-hacker. juasjuas , ya paro.

Lo dicho, me he reido mucho.

Anónimo dijo...

Que utilizaste para esa conecxión a la página y poder visualizar las cookies?
Una consola de Linux?

Yago Jesus dijo...

@Anónimo Usé el comando curl con el flag -v (para ver el entramado) + un pippe | tail -n 10

Anónimo dijo...

Gracias por la información Yago Jesus, lo probaré. Saludos

Por cierto muy muy bueno este blog. :)

(no se por que... no me deja poner nombre... en el comentario)

Anónimo dijo...

hummmmmmmmm :********

karpoke dijo...

Para ver las cabeceras también se podría utilizar:

$ curl -I barrapunto.com
$ HEAD barrapunto.com

Un saludo.

Alejandro Ramos dijo...

@karpoke:

O el telnet, o el netcat, o el wget, o el lynx, o el w3c, o el Firefox, o Internet Explorer, o el opera de mi android ....

karpoke dijo...

Para ver las cabeceras también se podría utilizar:

$ curl -I barrapunto.com
$ HEAD barrapunto.com

Un saludo.

Yago Jesus dijo...

@Anónimo Usé el comando curl con el flag -v (para ver el entramado) + un pippe | tail -n 10

lost-perdidos dijo...

Si doy pasos hacia atrás, entonces me sitúo en tu nivel cerebral.

Ese tipo de comentarios lo reirán tus 4 blog-amigos, que son igual de fantasmas que tú.

Y publiques o no mi comentario, me habrás leído igualmente! :)

Yago Jesus dijo...

@lost-perdidos da un par de pasitos hacia atrás (por ganar en perspectiva) y ahora intenta aplicar tu zona cerebral sarcástica al comentario. ¿A que ahora ya le encuentras la gracia?

Yago Jesus dijo...

@lost-perdidos Gracias por tu sesuda y valiosa aportación. Por favor, no pierdas nunca tu sentido crítico. Nos ayuda a mejorar