4 pontos por GN⁺ 2024-06-03 | 1 comentários | Compartilhar no WhatsApp

Ferramenta para deixar URLs longas

  • Função: uma ferramenta que torna URLs muito longas.
  • Criadores: criada em conjunto por ccbikai e ChatGPT.
  • Inspiração: inspirada em llIlI.lI.

Opinião do GN⁺

  • Utilidade: esta ferramenta pode ser útil em situações específicas em que seja necessário tornar uma URL longa. Por exemplo, pode ser usada para testar sistemas cujo comportamento muda conforme o comprimento da URL.
  • Fator de interesse: pode despertar curiosidade sobre por que seria necessário deixar uma URL longa.
  • Considerações técnicas: URLs longas demais podem causar problemas ao serem processadas por navegadores ou servidores. Portanto, é preciso cuidado no uso real.
  • Alternativa: é um conceito oposto ao dos serviços de encurtamento de URL, e existem várias ferramentas que permitem ajustar o comprimento da URL.

1 comentários

 
GN⁺ 2024-06-03
Comentários do Hacker News
  • Sou o autor. Eu queria publicar isso pessoalmente, mas não sabia que já tinha sido postado
    Enfrentei bastante problemas durante a implantação, principalmente relacionados a certificados HTTPS. O segmento mais longo de um nome de domínio tem 63 caracteres, e o tamanho máximo do commonName em um certificado HTTPS é 64, então Cloudflare, Vercel e Netlify não conseguiram obter assinatura do Let's Encrypt usando o nome de domínio como commonName, mas a Zeabur conseguiu
    No fim, troquei o certificado da Cloudflare para Google Trust Services LLC e consegui concluir a assinatura. O certificado relacionado pode ser visto em https://crt.sh/?q=looooooooooooooooooooooooooooooooooooooooo...

    • Desde 2023, o Let's Encrypt oferece suporte a certificados sem CN, então domínios longos agora são totalmente suportados: https://community.letsencrypt.org/t/simplifying-issuance-for...
      A gambiarra anterior era incluir um segundo domínio mais curto no certificado, mas isso nem sempre era fácil ou possível
    • Só acrescentando: commonName não é obrigatório em certificados de forma alguma e, na prática, está bem perto de deprecated/legacy
      O Letsencrypt não exige configuração de commonName; basta ter Subject Alternative Name (SAN), e o SAN pode ter até 255 caracteres. Mesmo assim, alguns provedores exigem commonName sem motivo claro
    • O domínio .ong não deveria exigir elegibilidade de uma organização não governamental fora da China para poder ser registrado?
      Com base em [1] https://www.godaddy.com/help/about-ong-domains-41384
    • Gostei disso
      Minha primeira impressão foi “que tipo de QA é esse? o que vai quebrar?”. Até entendo usar o nome de domínio como commonName, mas isso não parece um jeito ultrapassado? Hoje a extensão SAN do x.509 já deve cobrir isso, então é meio surpreendente ver autoridades certificadoras ainda presas ao jeito antigo
    • Impressionante. Vai oferecer serviço de e-mail também? ^^
  • Ficou tão bem feito que dá até raiva
    Está aqui: https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Se é um site para o Hacker News, por que aparece um aviso de conteúdo?
      1. A combinação de maiúsculas e minúsculas cria um padrão visual bem interessante se você semicerrar os olhos
      2. Que diabos é isso? kkk
  • As pessoas precisam de um rótulo dizendo que devem colocar o protocolo primeiro. Entrei e digitei google.com, mas não aconteceu nada, então por um momento achei que estava quebrado ou que tinha tomado uma bomba de tráfego do HN

    • Eu fiz exatamente a mesma coisa. Aliás, por que isso é necessário?
    • Não entendi. O que é preciso fazer? Eu também tentei Google.com, mas não sei o que deveria acontecer
    • Concordo. Eu ia perguntar por que não funcionava no celular, mas esse era o motivo
  • Já fiz algo parecido para deixar links com “cara de suspeitos”
    O recurso de geração automática de links provavelmente quebra, mas copiando e colando ou linkando direito deve funcionar
    https://sketchylinkasdf.com/ssl_webmaster.zip/qwerty/

    • Que tal adicionar um subdomínio? Fazer o domínio inteiro ficar como mail.com.sketchylinkasdf.com, por exemplo
    • Sou pentester de purple team e não sei se essa URL me dá mais PTSD ou mais risada
    • Site legal. Fui à página /feedback, mas não parece haver um jeito de enviar feedback de verdade. Deixei passar alguma coisa?
    • Existem mais alguns geradores de “URL suspeita”; dá para encontrar procurando
  • Uma empresa chamada Halibut Stuff vendia camisetas com encaminhamento de e-mail grátis embutido
    Meu endereço era myself@iwenttodefcon7.andalligotwas.thislousyemailaddress.com, e isso quebrou inúmeros formulários de cadastro. Na época eu trabalhava com teste de software e cheguei a falar em criar um serviço de e-mail “com alta chance de quebrar coisas” para vender a outros testadores, mas desistimos porque seria difícil para quem precisasse explicar isso a quem aprova orçamento

    • É um critério arbitrário, mas normalmente defino o campo de e-mail no banco como n?varchar de pelo menos 100 caracteres
  • Gostei muito da forma como a URL é codificada em binário e depois os 0 e 1 são trocados por O e o. Genial

    • Como você descobriu isso? Onde dá para ler sobre isso? Perdi alguma coisa?
  • Na prática, https:// já deveria vir preenchido no formulário

    • Além disso, parece que ele só verifica http: + um único caractere, então fica meio confuso. Por exemplo, https:/a também vira um domínio “válido”
  • Será que eu tive um AVC? Tenho 100% de certeza de que vi exatamente este tópico e exatamente estes comentários ontem, mas agora todos aparecem como se fossem de 5 horas atrás

    • Isso acontece quando um post é ressuscitado do second-chance pool. Pelo que entendi, a única forma atual de reviver o thread é mudar o timestamp, o que é bem confuso para quem realmente viu o thread antes
      Aqui está um link de busca no Algolia com a explicação do dang para a mesma pergunta e explicações antigas: https://news.ycombinator.com/item?id=36472976
    • Realmente conseguiram fazer engenharia do efeito Mandela
  • É preciso tomar cuidado ao criar um site assim. Há muito tempo, eu fiz algo parecido (urllengthener.sadale.net) e o site foi denunciado como uma “campanha de spam”. Descobri que spammers estavam usando meu site indevidamente para gerar links de spam, e eu tirei o site do ar imediatamente, então não sofri nenhuma punição séria
    Funcionava assim. O spammer usava meu URL lengthener como serviço de redirecionamento para mandar, na aparência, para um site que parecia um projeto inacabado, mas isso era só disfarce. Esse site tinha um código JavaScript que detectava o identificador de fragmento da URL, ou seja, a parte de hash no fim da URL, e, se o fragmento combinasse com o anúncio dele, redirecionava para o anúncio de spam real
    Por exemplo, suponha que o spammer tenha example.org. Ele configurava meu serviço para fazer https://urllengthener.sadale.net/foobarbaz redirecionar para https://example.org e depois enviava spam para a vítima com o link https://urllengthener.sadale.net/foobarbaz#identifierXYZ. Quando a vítima clicava, ia para https://example.org/#identifierXYZ e via o anúncio. O próprio https://example.org/ parecia normal, e o fragmento da URL, por ser um elemento do lado do cliente, nem aparecia nos logs HTTP do servidor. Se não fosse pela denúncia desse abuso para spam, eu provavelmente nunca teria descoberto, então até sou grato por isso
    Só para constar, example.org não é um site de spam real, é apenas um domínio de exemplo. Quando eu tiver tempo, preciso escrever isso em algum lugar. E, testando este serviço, parece que ele pode ser abusado exatamente da mesma forma que o meu site. No mínimo, recomendo fortemente desativar o redirecionamento de identificador de fragmento de URL. Um exemplo de abuso possível é https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Você disse “eu tirei o site do ar imediatamente, então não sofri nenhuma punição séria”, mas que punição você achava que poderia receber, e de quem?
    • Em que isso difere de um parâmetro GET na URL? Fiquei na dúvida se isso é algo específico de fragmentos de URL. JavaScript também pode fazer parse de parâmetros da URL, e um site de spam também poderia abusar disso reescrevendo a parte do caminho
    • Sim. É triste dizer isso, mas parece que basta esperar 3... 2... 1... até algum agente malicioso usar este serviço para fins ruins
  • Não daria para deixá-la ainda mais loooonger usando subdomínios?
    Pelo que eu entendo, um domínio pode ter até 255 caracteres
    https://a.lot.looooooooo(...)nger.than.looooooooo(...).ng

    • Existe um limite prático para o comprimento total da URL [0], e esse limite é muito maior que 255 caracteres. A parte do caminho da URL pode ficar arbitrariamente longa dentro desse limite, então usar só subdomínios é desnecessariamente restritivo, e mesmo misturar os dois não traz muita vantagem adicional
      [0] https://stackoverflow.com/questions/417142/what-is-the-maxim...