HTTP

Forscher verschaffen sich Zugriff auf Daten von Formel-1-Fahrern. (Bild: Clive Mason/Getty Images) (Clive Mason/Getty Images)

Sicherheitslücke: Per Website-Bug zum Ausweis eines Formel-1-Rennfahrers

Vertrauliche Daten von Motorsport-Profis wie Max Verstappen sind aufgrund einer Sicherheitslücke bei der FIA leicht zugänglich gewesen.

1 Kommentare

Zig ist das optimale Tooling zur Programmierung eines HTTP-Webservers. (Bild: addison11/Pixabay) (addison11/Pixabay)

Zig: HTTP-Server in Zig von Grund auf

Mit wenig Code zu einem HTTP-Server: Unsere Schritt-für-Schritt-Anleitung zeigt, wie das geht und vermittelt Basiswissen zur modernen C-Alternative Zig.

26 Kommentare / Eine Anleitung von Michael Lohr

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Fortgeschrittene Python-Techniken in der Anwendung

zum Ratgeber

Seminar: EXKLUSIV Golem Expert: Microsoft 365 Compliance & Security Check

zum Kurs

E-Learning: Microsoft PowerPoint: Beginner to Pro (E-learning in English)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachinformatiker (m/w/d) Anwendungsbetreuer Lotteriesoftware Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

Berufseinstieg als Dualer Student / Duale Studentin (m/w/d) in der IT Standort Sankt Augustin bei Bonn PROSERV!CE Dienstleistungsgesellschaft mbH, Sankt Augustin (öffnet im neuen Fenster)

IT Solution Manager - Supply-Chain-Management-Plattform (gn*) Woolworth GmbH, Unna (öffnet im neuen Fenster)

ERP-Inhouse-Consultant im Prozessmanagement (m/w/d) Krannich Group GmbH, Weil der Stadt (öffnet im neuen Fenster)

Key User, kaufmännischer Sachbearbeiter (Fachwirt Energiewirtschaft oder erfahrener Industriekaufmann o. ä.) Schwerpunkt Abrechnung (m/w/d) in der Energiewirtschaft - Stadtwerke Stadtwerke Speyer GmbH, Speyer (öffnet im neuen Fenster)

IT Service Manager - Lagerverwaltung System & Transport Management System (gn*) Woolworth GmbH, Unna (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) inVENTer GmbH, Löberschütz (öffnet im neuen Fenster)

Teamleiter SAP Anwendungsbetreuung (w/m/d) GESOBAU AG, Berlin (öffnet im neuen Fenster)

Cloudflare ergreift Maßnahmen gegen unverschlüsseltes HTTP. (Bild: pixabay.com / geralt) (pixabay.com / geralt)

Nur noch HTTPS erlaubt: Cloudflare blockiert unverschlüsselten HTTP-Traffic

Den Start macht Cloudflare mit seiner eigenen API. Entwickler müssen ihre Anwendungen gegebenenfalls aktualisieren, um Ausfälle zu vermeiden.

19 Kommentare

Passwort in einem Datenhaufen (Symbolbild) (Bild: pixabay.com / tsmr) (pixabay.com / tsmr)

Zugangsdaten gefährdet: Apple patcht Sicherheitslücke in iOS erst nach Monaten

Apples Passwords-App hat Weiterleitungen zur Passwortänderung über unsicheres HTTP abgewickelt. Angreifer hätten auf Phishingseiten umleiten können.

1 Kommentare

Firmenlogo von Cisco (Bild: David Ramos/Getty Images) (David Ramos/Getty Images)

Smart Licensing Utility: Admin-Backdoor in Cisco-Lizenzierungstool entdeckt

Zudem gibt es in dem Tool noch eine zweite kritische Sicherheitslücke, durch die Angreifer per HTTP-Request Anmeldeinformationen abgreifen können.

14 Kommentare

HTTP-Anfragen mit bestimmten Statuscodes sind bei AWS künftig kostenlos. (Bild: Noah Berger/Getty Images for Amazon Web Services) (Noah Berger/Getty Images for Amazon Web Services)

Nach massiver Kritik: AWS stoppt Kostenexplosion durch nicht autorisierte Anfragen

Ein Entwickler sollte für nicht autorisierte HTTP-Anfragen an einen S3-Bucket mit ein paar Testdaten 1.300 US-Dollar zahlen. AWS ergreift nun Maßnahmen dagegen.

Kommentare

Der BFCache von Google Chrome beschleunigt die Navigation zwischen besuchten Webseiten. (Bild: KIMIHIRO HOSHINO/AFP via Getty Images) (KIMIHIRO HOSHINO/AFP via Getty Images)

Google Chrome: Neues Cache-Verhalten soll Browser-Navigation beschleunigen

Google experimentiert wohl damit, die Option "no-store" des Cache-Control-Headers in Chrome für den Back-Forward-Cache zu ignorieren.

2 Kommentare

Schwachstellen in Squid gefährden weltweit 2,5 Millionen Systeme. (Bild: pixabay.com / TheDigitalArtist) (pixabay.com / TheDigitalArtist)

Caching-Proxy: 35 Schwachstellen in Squid schon mehr als 2 Jahre ungepatcht

Anfang 2021 hatte ein Sicherheitsforscher 55 Schwachstellen an das Entwicklerteam von Squid gemeldet. Ein Großteil ist noch offen.

5 Kommentare

Seminar: ISO 42001 Foundation KI-Beauftragter mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: ISO 27001 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

Google hat den größten DDoS-Angriff aller Zeiten abgewehrt. (Bild: Justin Sullivan/Getty Images) (Justin Sullivan/Getty Images)

Schwachstelle in HTTP/2: Google, AWS und Cloudflare melden neue DDoS-Rekorde

Eine Zero-Day-Schwachstelle im HTTP/2-Protokoll ermöglicht umfangreiche DDoS-Angriffe. Die größte Datenflut traf zuletzt bei Google ein.

2 Kommentare

DNS over HTTPS und mehr: DNS-Abfragen müssen heute nicht mehr unverschlüsselt erfolgen. (Bild: Pixabay) (Pixabay)

DNS-Technologien im Überblick: Wie das Domain Name System sicherer gemacht wird

DNS und Internet gehören seit fast 40 Jahren zusammen. Wegen der wachsenden Bedeutung des Datenschutzes hat es sich aber stark verändert. Wir zeigen, was alte und neue DNS-Technologien bringen und wie man sie einsetzt.

6 Kommentare / Von Florian Bottke

Der HTTP-Proxy von Cloudflare ist offenbar nach dem Pingora Peak benannt. (Bild: Cloudflare) (Cloudflare)

HTTP-Proxy: Cloudflare ersetzt Nginx mit Rust-Eigenentwicklung

Mit Nginx stieß Cloudflare an technische Grenzen und konnte die Software kaum erweitern. Eine Eigenentwicklung in Rust soll die Problem überwinden.

Kommentare

HTTP/3 ist fertig. (Bild: Pixabay) (Pixabay)

Quic: HTTP/3 offiziell als Standard verabschiedet

HTTP über das neue Quic-Transportprotokoll ist nun als HTTP/3 offiziell spezifiziert. Erste Experimente gab es bereits 2013.

17 Kommentare

Firefox 91 experimentiert mit einem HTTPS-First-Modus. (Bild: Simon O'Brien, flickr.com) (Simon O'Brien, flickr.com)

Mozilla: Firefox 91 bevorzugt HTTPS im privaten Modus

Mit Version 91 des Firefox-Browsers setzt das Mozilla-Team außerdem auf das automatische Löschen von Cookies, was Datenlecks verhindern soll.

13 Kommentare

Quic macht Arbeit, wenn es besser laufen soll als TCP. (Bild: Pixabay) (Pixabay)

Statt TCP: Quic ist schwer zu optimieren

Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

27 Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Firefox 90 schaltet FTP ab. (Bild: Pixabay.com) (Pixabay.com)

Mozilla: Firefox 90 schaltet unsicheres FTP endgültig ab

Seit Firefox 88 wird FTP standardmäßig deaktiviert. Mit dem Browser Firefox 90 wird FTP komplett abgeschaltet - und damit viele Angriffsvektoren.

68 Kommentare

Chrome bekommt einen HTTPS-Only-Modus. (Bild: Chris Ratcliffe/Getty Images) (Chris Ratcliffe/Getty Images)

Google: Chrome testet HTTPS-Only-Modus

Das Erzwingen von HTTPS ging vor Jahren nur über Erweiterungen. Auf die Arbeiten von Mozilla im Firefox folgt nun aber auch Google in Chrome.

14 Kommentare

Quic soll die Zukunft der Netzwerkprotokolle sein. (Bild: Pixabay) (Pixabay)

IETF: Quic ist offizieller Internet-Standard

Neben TCP und UDP ist nun auch Quic als Transportprotokoll für das Internet standardisiert. Das darauf aufbauende HTTP/3 soll folgen.

19 Kommentare

Chrome macht das verschlüsselte HTTPS zum Standard. (Bild: Ivan Radic, flickr.com) (Ivan Radic, flickr.com)

Google: Chrome macht HTTPS zum Standard

Nach ersten öffentlichen Arbeiten im Quellcode von Chrome kommt nun auch die offizielle Bestätigung: Chrome 90 bevorzugt HTTPS.

31 Kommentare

HTTP-Header sind nun Structured Fields. (Bild: Pixabay) (Pixabay)

Structured Fields: HTTP-Header bekommen feste Struktur

Ein Internetstandard soll HTTP-Header aufräumen und diese leichter nutzbar machen. Dafür gibt es Anleihen aus Programmiersprachen.

6 Kommentare

Google: Chrome will HTTPS first einführen

Statt zuerst die HTTP-Variante einer Webseite zu öffnen, soll Chrome in Zukunft die verschlüsselte Variante bevorzugen.

1 Kommentare

Salesforce gibt gefährliche Ratschläge, weil die eigenen Services darauf angewiesen sind, unsichere Inhalte auf HTTPS-Webseiten zu laden. (Bild: Raysonho/Wikimedia Commons) (Raysonho/Wikimedia Commons)

Mixed Content: Salesforce empfiehlt Nutzern unsichere Browser

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.

4 Kommentare / Von Hanno Böck

Die Arbeiten HTTP/3 und Quic sind so gut wie abgeschlossen. (Bild: Pixabay) (Pixabay)

IETF: Quic und HTTP/3 so gut wie fertig

Die IETF hat die letzte Runde für Änderungen an Quic und HTTP/3 eingeläutet. Die Protokolle sind damit so gut wie fertig.

6 Kommentare

Der Verfassungsschutz soll bald die Möglichkeit bekommen, den Datenverkehr direkt beim ISP zu manipulieren. (Bild: Olaf Kosinsky, Wikimedia Commons) (Olaf Kosinsky, Wikimedia Commons)

Staatstrojaner: Das bedeutet der Geheimdienstzugriff bei ISPs

Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.

18 Kommentare / Eine Analyse von Hanno Böck

Wenn der Podcast stumm bleibt, könnte es an einer Änderung im aktuellen Chrome-Browser liegen. (Bild: Matti Blume/Wikimedia Commons) (Matti Blume/Wikimedia Commons)

Google Chrome: ARD-Podcast bleibt stumm

Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.

7 Kommentare

Chrome soll künftig unsichere Downloads blockieren. (Bild: Spencer Platt/Getty Images) (Spencer Platt/Getty Images)

Google: Chrome soll langfristig HTTP-Downloads blockieren

Das Entwicklerteam von Googles Chrome will künftig alle unsicheren Downloads in dem Browser blockieren. Die Umsetzung soll schrittweise für unterschiedliche Dateiformate verteilt werden.

49 Kommentare

Oft massiv übertrieben: Sicherheitswarnungen von Cert-Bund (Bild: Cert-Bund/Screenshot: Golem.de) (Cert-Bund/Screenshot: Golem.de)

Websicherheit: Cert-Bund war anfällig für CSRF-Angriff

Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.

2 Kommentare / Eine Exklusivmeldung von Hanno Böck

Der CPDoS-Angriff zielt auf das Zusammenspiel von Web-Caches und Web-Servern. (Bild: CPDoS-Webseite) (CPDoS-Webseite)

CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.

2 Kommentare / Von Hanno Böck

Chrome lädt künftig nur noch HTTPS-Subressourcen auf einer HTTPS-Webseite. (Bild: Grace.Donaghue/Flickr.com) (Grace.Donaghue/Flickr.com)

Google: Chrome-Browser wird Mixed Content vollständig blockieren

Google plant, dass der Chrome-Browser künftig Mixed Content in Webseiten komplett blockiert. Das heißt, HTTP-Subressourcen können dann nicht mehr in HTTPS-Seiten geladen werden.

6 Kommentare

Mit speziellen HTTP/2-Anfragen kann man dafür sorgen, dass Webserver extrem langsam werden. (Bild: Mad Max, Wikimedia Commons) (Mad Max, Wikimedia Commons)

Webserver: Denial-of-Service-Angriffe gegen HTTP/2

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

8 Kommentare

Die ersten Transfers per HTTP/3 können mit Curl getestet werden. (Bild: Pexels) (Pexels)

Quic: Curl kann HTTP/3

Das extrem weit verbreitete Download- und Transfer-Werkzeug Curl unterstützt erstmals das Protokoll HTTP/3, das über den ebenfalls neuen Standard Quic transportiert wird. Noch ist die Technik aber sehr experimentell.

Kommentare

Curl unterstützt künftig viele parallele Transfers. (Bild: Justin Sullivan, Getty Images) (Justin Sullivan, Getty Images)

HTTP-Transfer: Curl lädt künftig URLs parallel

Das weltweit beliebte Download- und Transfer-Werkzeug Curl arbeitet in der kommenden Version verschiedene URLs parallel ab. Allerdings müssen Nutzer das explizit einstellen. Chefentwickler Stenberg freut sich über die Funktion, die nicht einmal 22 Jahre benötigt habe.

25 Kommentare

Cloudflare erklärt, wie es zum 502-Fehler kam. (Bild: Pixabay.com/Montage: Golem.de) (Pixabay.com/Montage: Golem.de)

Fehler 502: Cloudflare schämt sich für den vergangenen Ausfall

Cloudflare erzählt in einem ausführlichen Blogpost die Geschichte des vergangenen Ausfalls, der einen Teil der Internetinfrastruktur belastete und sogar das eigene Team bei der Fehlersuche behinderte. Das Unternehmen schämt sich für den Fehler.

18 Kommentare

Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. (Bild: Tmthetom/Wikimedia Commons) (Tmthetom/Wikimedia Commons)

Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

3 Kommentare

Auf solch einem Entwicklerboard mit ARM Cortex M4 soll Tiny-Curl künftig auch laufen können. (Bild: Daniel Stenberg) (Daniel Stenberg)

HTTP-Client: Tiny-Curl bietet 100-KByte-Bibliothek für Embedded-Geräte

Die HTTP-Bibliothek des Curl-Projekts gilt als wahrscheinlich am weitesten verbreitete dieser Art überhaupt. Für Embedded-Geräte erstellt der Hauptentwickler nun Tiny-Curl, das mit nur rund 100 KByte weniger als ein Viertel so groß ist wie übliche Pakete.

1 Kommentare

Aus Fehlern nichts gelernt? Erneut sorgt eine auf Dell-Laptops vorinstallierte Software für Sicherheitsprobleme. (Bild: Wistula, Wikimedia Commons) (Wistula, Wikimedia Commons)

Sicherheitslücke: Treiberinstallation auf Dell-Laptops angreifbar

Eine auf Dell-Laptops vorinstallierte Windows-Software zur Installation von Treibern öffnet einen lokalen HTTP-Server. Ein Netzwerkangreifer kann das missbrauchen, um Schadsoftware zu installieren.

Kommentare

Mkcert vereinfacht den Weg zur lokalen Web-Entwicklung mit HTTPS deutlich. (Bild: GLady/Pixabay) (GLady/Pixabay)

TLS-Zertifikate: Mkcert vereinfacht Web-Entwicklung mit lokalem HTTPS

Die Web-Entwicklung mit lokalem HTTPS ist nicht immer einfach und auch nicht ohne weiteres möglich. Um den eigenen Code dennoch leicht lokal mit einer HTTPS-Verbindung zu testen, hat ein Google-Sicherheitsforscher das Werkzeug Mkcert vorgestellt.

18 Kommentare

HTTP/3 nutzt Quic als Transport. (Bild: Pixabay) (Pixabay)

IETF: HTTP über Quic wird zu HTTP/3

Obwohl sich HTTP/2 noch nicht besonders weit im Internet durchgesetzt hat, arbeitet die IETF bereits an HTTP/3. Dabei handelt es sich um die Verwendung von HTTP über das neu spezifizierte Quic-Transportprotokoll.

4 Kommentare

Rund ist das neue Eckig in Googles Chrome. (Bild: Google) (Google)

Google: Chrome 69 erscheint mit runden Ecken

Googles Chrome-Browser erhält in der aktuellen Version 69 ein neues Aussehen im Material Design samt abgerundeter Ecken. Das erinnert an das alte UI des Firefox-Browsers. Google ändert außerdem weiter das Verhalten der TLS-Anzeige, bereitet den Flash-Abschied vor und sollte seltener abstürzen.

109 Kommentare

Die Teekanne erfreut sich als Fehlercode in der Community großer Beliebtheit. (Bild: mendhak, flickr.com) (mendhak, flickr.com)

Error 418: NPM liefert Fehler "Ich bin eine Teekanne" und bricht ab

Unter bestimmten Umständen lieferten die NPM-Registry ihren Nutzern den HTTP Statuscode 418 "I am a Teapot". Der zugrundeliegende Fehler für diese wenig hilfreiche Nachricht ist schnell behoben worden.

46 Kommentare

Sonar ist ein Tool zum Testen von Webseiten. (Bild: Sonar) (Sonar)

Microsoft: Sonar überprüft kostenlos Webseiten auf Fehler

Wo kann eine Webseite optimiert werden? Sonar scannt Domains auf eventuelle Fehler oder Designschwächen im Quellcode und bietet Lösungsvorschläge an. Das Tool kann kostenlos im Browser oder in der Kommandozeile verwendet werden.

23 Kommentare

Trotz der großen Aufregung um Heartbleed wurde Optionsbleed 2014 übersehen. (Bild: EFF) (EFF)

Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

11 Kommentare

Zufällige Speicherfragmente finden sich in der Ausgabe einer HTTP-OPTIONS-Anfrage an einen verwundbaren Apache-Server. (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Kurse

Podcast Besser Wissen