Hotlinks auf GitHub-Raws mit rawgithub.com
Kommentare

Prinizpiell sollte die Übertragung von rohem Text aus GitHub gar kein Problem sein, da es für jedes File einen Button „Raw“ zwischen „Edit“ und „Blame“ gibt. Weil Ryan Grove aber das so übertragene

Prinizpiell sollte die Übertragung von rohem Text aus GitHub gar kein Problem sein, da es für jedes File einen Button „Raw“ zwischen „Edit“ und „Blame“ gibt. Weil Ryan Grove aber das so übertragene CSS, JS oder HTML nicht korrekt parsen konnte, hat er sich (und allen anderen) ein kleines Hintertürchen gebaut. Entfernt man den Punkt in der URL der Raw-Ansicht von GitHub-Files, so gelangt man zu seinem Portal, das die Datei nicht mit dem text/plain Content Type unbrauchbar macht, was von GitHub als Schutzmaßnahme gegen Hotlinking eingeführt wurde.

Jetzt könnte man freilich dahergehen, und über rawgithub.com munter JavaScript und CSS aus Github-Repositorys in einer Website verlinken. Aber auch hieran hat Grove gedacht, und eine Falle gegen Missbrauch eingebaut. Wer von seiner URL aus via Hotlinks zu viel Traffic auf rawgithub.com verursacht, der bekommt ab einem gewissen Zeitpunkt evil.js oder evil.css übermittelt, die die damit gerenderte Website, sagen wir, unmöglich aussehen lassen. Nach Ankündigung einer solchen Man-in-the-Middle-Attacke ist klar, dass das Projekt auf gegenseitigem Vertrauen beruht und für den schnellen Austausch einzelner Links à la „Schau her, so könnte das Projekt in Produktion aussehen“ taugt, nicht aber für den Produktivbetrieb.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -