Upgrade to Pro — share decks privately, control downloads, hide ads and more …

君はサーバーに潜むティーポットを見たことはあるか

 君はサーバーに潜むティーポットを見たことはあるか

2021/12/22 プロ研LT会

ONOYAMA Shodai

December 22, 2021
Tweet

More Decks by ONOYAMA Shodai

Other Decks in Technology

Transcript

  1. HTTP • クライアントとサーバー間の 通信に関するルール • クライアント⇒サーバー • HTTPリクエスト • 「このリソースおくれ~」

    • サーバー⇒クライアント • HTTPレスポンス • 「リソースあったで、これがリソースや」
  2. ステータスコード • 200 OK • サーバー「リソースあったで!」 • 404 Not Found

    • サーバー「リソース無かったで?」 • 503 Service Unavailable • サーバー「今リクエスト処理 できへんわ、無理」
  3. 418 I'm a teapot • HTCPCP (Hyper Text Coffee Pot

    Control Protocol) で定義されているエラー応答のひとつ • サーバー「俺はティーポットや!! コーヒー入れんな!!!」 • Googleにも418を返すページが 実装されている Googleに実装されている ティーポットくん
  4. 消滅の危機 • 許容できないリプレイ攻撃に対する 新しいエラー「4XX Too Early」に、 未割り当ての418を使うかどうか • node.js, golangに対し、

    「418は削除してくれ」 • 実際にIssueが出されている https://datatracker.ietf.org/doc/html/draft -thomson-http-replay-00
  5. 参考資料 • Hyper Text Coffee Pot Control Protocol - Wikipedia

    • https://ja.wikipedia.org/wiki/Hyper_Text_Coffee_Pot_Control_P rotocol • 2021/12/22現在 • HTTPで「418 I’m a tea pot」を実装してはいけない(2018/10/18 追記) – Qiita • https://qiita.com/flano_yuki/items/ea251ac6b53bc54677d2 • 2021/12/22現在