4 điểm bởi GN⁺ 2024-06-03 | 1 bình luận | Chia sẻ qua WhatsApp

Công cụ làm URL dài hơn

  • Tính năng: Đây là công cụ giúp biến URL thành rất dài.
  • Tác giả: Được ccbikai và ChatGPT cùng tạo ra.
  • Nguồn cảm hứng: Lấy cảm hứng từ llIlI.lI.

Ý kiến của GN⁺

  • Tính hữu ích: Công cụ này có thể hữu ích trong một số tình huống cần làm URL dài ra. Ví dụ, có thể dùng để kiểm thử các hệ thống có hành vi thay đổi theo độ dài URL.
  • Điểm thú vị: Nó có thể khơi gợi sự tò mò về việc vì sao lại cần làm URL dài hơn.
  • Lưu ý kỹ thuật: URL quá dài có thể gây ra vấn đề khi được trình duyệt hoặc máy chủ xử lý. Vì vậy cần cẩn trọng khi sử dụng thực tế.
  • Giải pháp thay thế: Đây là khái niệm ngược lại với các dịch vụ rút gọn URL, và cũng có nhiều công cụ khác nhau để điều chỉnh độ dài URL.

1 bình luận

 
GN⁺ 2024-06-03
Các ý kiến trên Hacker News
  • Tôi là tác giả. Tôi định tự đăng công khai, nhưng không biết là đã có người đưa lên rồi
    Trong quá trình triển khai tôi gặp khá nhiều vấn đề, chủ yếu liên quan đến chứng chỉ HTTPS. Đoạn dài nhất của tên miền là 63 ký tự, còn độ dài tối đa của commonName trong chứng chỉ HTTPS là 64 ký tự, nên Cloudflare, Vercel và Netlify dùng tên miền làm commonName và không thể xin chữ ký của Let's Encrypt, nhưng Zeabur thì làm được
    Cuối cùng tôi đổi chứng chỉ Cloudflare sang Google Trust Services LLC và ký thành công. Chứng chỉ liên quan có thể xem tại https://crt.sh/?q=looooooooooooooooooooooooooooooooooooooooo...

    • Let's Encrypt đã hỗ trợ chứng chỉ không có CN từ năm 2023, nên các tên miền dài cũng được hỗ trợ đầy đủ: https://community.letsencrypt.org/t/simplifying-issuance-for...
      Cách обход trước đây là thêm kèm một tên miền thứ hai ngắn hơn vào chứng chỉ, nhưng không phải lúc nào cũng dễ hoặc khả thi
    • Nói thêm thì commonName hoàn toàn không bắt buộc trong chứng chỉ, và thực tế gần như đã deprecated/legacy
      Letsencrypt không yêu cầu đặt commonName, chỉ cần có Subject Alternative Name (SAN) là đủ, và SAN có thể dài tới 255 ký tự. Thế nhưng một số nhà cung cấp lại yêu cầu commonName mà không có lý do rõ ràng
    • Chẳng phải muốn đăng ký tên miền .ong thì phải là tổ chức phi chính phủ bên ngoài Trung Quốc sao?
      Dựa theo [1] https://www.godaddy.com/help/about-ong-domains-41384
    • Tôi thích cái này
      Ấn tượng đầu tiên là “QA kiểu gì đây? Cái gì sẽ vỡ?” Việc dùng tên miền làm commonName thì cũng hiểu được, nhưng có vẻ là cách làm cũ rồi. Giờ phần mở rộng SAN của x.509 chắc phải bao phủ việc này chứ, nên hơi ngạc nhiên khi các CA vẫn bám vào cách cũ
    • Đỉnh thật. Có định cung cấp cả dịch vụ email không? ^^
  • Nó được làm tốt đến mức phát bực
    Đây này: https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Trang web dành cho Hacker News mà sao lại hiện cảnh báo nội dung nhỉ?
      1. Các tổ hợp chữ hoa/chữ thường, nếu nheo mắt nhìn, tạo ra một mẫu hình thị giác khá thú vị
      2. Cái gì đây trời haha
  • Cần có nhãn nói rằng người dùng phải nhập protocol trước. Vừa vào tôi gõ google.com, thấy chẳng có gì xảy ra nên đã tưởng trong chốc lát là nó bị hỏng hoặc bị bão traffic từ HN đánh sập

    • Tôi cũng làm y hệt. Mà ngay từ đầu tại sao lại cần cái đó nhỉ?
    • Không hiểu. Cần cái gì cơ? Tôi cũng thử nhập Google.com mà không biết phải làm gì
    • Đồng ý. Tôi định hỏi vì sao trên di động không chạy, hóa ra là lý do đó
  • Tôi từng làm một thứ tương tự để khiến liên kết trông “đáng ngờ”
    Tính năng tự tạo liên kết có thể sẽ hỏng, nhưng nếu copy rồi paste hoặc liên kết đúng cách thì sẽ chạy
    https://sketchylinkasdf.com/ssl_webmaster.zip/qwerty/

    • Thêm subdomain thì sao? Kiểu biến toàn bộ domain thành mail.com.sketchylinkasdf.com
    • Là pentester purple team, tôi không biết URL đó gây PTSD nhiều hơn hay gây cười nhiều hơn
    • Site hay đấy. Tôi vào trang /feedback nhưng có vẻ không có cách nào để thực sự gửi phản hồi. Tôi có bỏ sót gì không?
    • Có thêm vài bộ tạo “URL đáng ngờ” nữa, tìm kiếm là ra
  • Một công ty tên Halibut Stuff ngày trước từng bán áo thun kèm dịch vụ chuyển tiếp email miễn phí
    Địa chỉ của tôi là myself@iwenttodefcon7.andalligotwas.thislousyemailaddress.com, và nó đã làm hỏng vô số form đăng ký. Lúc đó tôi làm kiểm thử phần mềm nên từng bàn chuyện tạo một dịch vụ email “rất dễ làm mọi thứ vỡ” để bán cho các tester khác, nhưng rồi bỏ vì nghĩ những người cần nó sẽ khó giải thích với người có quyền phê duyệt chi phí

    • Dù là tiêu chí tùy ý, thường thì trường email trong database tối thiểu cũng đặt n?varchar 100 ký tự
  • Tôi rất thích cách mã hóa URL thành nhị phân rồi thay 0 và 1 bằng Oo. Thiên tài thật

    • Làm sao bạn biết? Đọc ở đâu vậy? Tôi có bỏ lỡ gì không?
  • Trên thực tế, phần https:// cần thiết nên được điền sẵn trong form

    • Thêm nữa, có vẻ nó chỉ kiểm tra http: + một ký tự nên hơi khó hiểu. Ví dụ https:/a cũng trở thành một domain “hợp lệ”
  • Có phải tôi vừa bị đột quỵ không? Tôi chắc chắn 100% là hôm qua đã thấy đúng chủ đề này và đúng các bình luận này, vậy mà giờ tất cả đều hiển thị là 5 giờ trước

    • Chuyện này xảy ra khi bài viết được hồi sinh từ second-chance pool. Theo tôi hiểu thì hiện cách duy nhất để làm sống lại thread hiện tại là đổi timestamp, nên với những người đã thật sự xem thread trước đó thì khá là khó hiểu
      Đây là link tìm kiếm Algolia dẫn tới phần giải thích của dang cho cùng câu hỏi và các giải thích cũ: https://news.ycombinator.com/item?id=36472976
    • Đúng là đã engineer ra hiệu ứng Mandela thật
  • Khi làm kiểu website như thế này thì nên cẩn thận. Rất lâu trước đây tôi từng làm một thứ tương tự (urllengthener.sadale.net) rồi site bị báo cáo là “chiến dịch spam”. Hóa ra spammer đã lạm dụng site của tôi để tạo link spam, và tôi đã gỡ site xuống ngay nên không bị chế tài gì đáng kể
    Cách làm là thế này. Spammer dùng URL lengthener của tôi như một dịch vụ redirect, bề ngoài dẫn tới một site trông như dự án còn dang dở, nhưng thực ra đó là lớp ngụy trang. Site đó có mã JavaScript phát hiện URL fragment identifier, tức phần hash ở cuối URL, và nếu fragment khớp với quảng cáo của họ thì redirect tới quảng cáo spam thật
    Ví dụ giả sử spammer sở hữu example.org. Họ dùng dịch vụ của tôi để tạo https://urllengthener.sadale.net/foobarbaz redirect tới https://example.org, rồi gửi spam cho nạn nhân bằng link https://urllengthener.sadale.net/foobarbaz#identifierXYZ. Khi nạn nhân bấm vào, họ sẽ tới https://example.org/#identifierXYZ và thấy quảng cáo. Bản thân https://example.org/ trông có vẻ bình thường, còn URL fragment là thành phần phía client nên cũng không lưu trong log HTTP server. Nếu không có báo cáo lạm dụng spam đó thì có lẽ tôi đã không bao giờ biết, nên theo một cách nào đó tôi còn thấy biết ơn
    Lưu ý example.org không phải site spam thật mà chỉ là domain ví dụ. Khi nào có thời gian tôi nên viết lại chuyện này thành một bài. Và khi test dịch vụ này, tôi thấy nó có thể bị lạm dụng đúng theo cách site của tôi từng bị. Tôi rất khuyến nghị ít nhất hãy vô hiệu hóa redirect URL fragment identifier. Ví dụ về khả năng bị lạm dụng: https://looooooooooooooooooooooooooooooooooooooooooooooooooo...

    • Bạn nói “gỡ site xuống nên không bị chế tài gì đáng kể”, vậy bạn nghĩ mình có thể bị chế tài gì và từ ai?
    • Cái này khác gì với tham số GET của URL? Tôi tò mò liệu nó chỉ liên quan đến URL fragment hay không. JavaScript cũng có thể parse URL parameters, và nếu là site spam thì họ cũng có thể rewrite phần path để lạm dụng
    • Đúng vậy. Nghe hơi u ám, nhưng có lẽ chỉ cần đếm 3... 2... 1... là sẽ có tác nhân xấu lạm dụng dịch vụ này cho mục đích xấu
  • Không thể dùng subdomain để làm nó loooonger hơn nữa sao?
    Theo tôi hiểu thì domain có thể dài tối đa 255 ký tự
    https://a.lot.looooooooo(...)nger.than.looooooooo(...).ng

    • Có một giới hạn trên thực tế đối với tổng độ dài URL [0], và giới hạn đó lớn hơn 255 ký tự rất nhiều. Phần path của URL có thể dài tùy ý trong giới hạn đó, nên nếu chỉ dùng subdomain thì bị giới hạn không cần thiết, còn trộn thêm subdomain vào cũng không có lợi ích gì đáng kể
      [0] https://stackoverflow.com/questions/417142/what-is-the-maxim...