Неожиданные HTTP-заголовки

Автор оригинала: Francesco Carlucci
  • Перевод
Пару дней назад я ковырялся в блоге Creditkarma и заметил такой HTTP-заголовок:

X-hacker: If you're reading this, you should visit wpvip.com/careers and apply to join the fun, mention this header.

(X-hacker: если вы это читаете, то вам следует зайти на wpvip.com/careers и подать заявку, чтобы присоединиться к веселью, упомяните этот заголовок).

Первой мыслью было: «Ничего себе, когда-то программисты ввели баг тысячелетия, чтобы сэкономить несколько бит на дате, и теперь у компании публикуют целые предложения о работе в заголовке HTTP!»

Мне стало очень интересно, и я провёл некоторые исследования.

Похоже, этот конкретный заголовок является «стандартным», если вы размещаете сайт на WordPress VIP, корпоративном хостинге WordPress под управлением Automattic. Тот же заголовок можно найти на многих известных сайтах, таких как:


Разработчики и владельцы веб-сайтов могут его отключить, но, честно говоря, я сомневаюсь, что они вообще знают, что этот заголовок включён в каждый HTTP-пакет. И конечно, сразу пришла вторая мысль — проверить, есть ли у других компаний какие-то креативные заголовки.

Результаты просто поразительные!

В заголовках HTTP можно найти разные предложения о работе


Да! Самые крутые компании мира, похоже, публикуют предложения о работе в «стандартном» HTTP-заголовке x-recruiting.

Вот некоторые примеры:

PayPal.me

x-recruiting: If you are reading this, maybe you should be working at PayPal instead! Check out www.paypal.com/us/webapps/mpp/paypal-jobs

Booking.com

x-recruiting: Like HTTP headers? Come write ours: careers.booking.com

Etsy.com

x-recruiting: Is code your craft? www.etsy.com/careers

Otto.de

x-recruiting: Seems you like http headers. To write ours, apply at job.otto.de and mention this header.

Хотите увидеть полный список? Для этого я открыл репозиторий на GitHub.

Помимо предложений о работе, в процессе исследования нашлись и более креативные вещи. Они очень меня взволновали как большого фаната таинственных бессмыслиц.

Таинственные HTTP-заголовки


Веб-сайт 9kw.eu, который вроде бы является провайдером капчи, выводит секретное сообщение «42»:

X-Secret-Message: 42

Сайт istreetview.com уже не поддерживается, но в заголовке можно найти адрес секретной веб-формы.

X-Secret-URL: https://appio.link/secret

Я написал им свой ответ…

На thetradersdomain.com «скрытый соус» в заголовках, но это конфиденциально:

x-secret-sauce: Confidential

На images-dnxlive.com ещё несколько «секретных» ссылок в одном из HTTP-заголовков:

X-Secret-Message: camscv.dnxnetwork.lu

Если вы любите роскошные автомобили, вот вам jaguar.ro с заголовком для обнаружения ботов:

X-Bot: false

Но этот метод не очень хорошо работает и терпит неудачу, если подменить user-agent (извините, ребята из Jaguar).

И всё же… вы когда-нибудь видели сервер с прозвищем? Вот тут есть парочка:

X-men.com

X-ServerNickName: clint

Howgoodisyourseo.com

X-ServerNickName: The Internet

И последний, но тоже интересный пример. Наши друзья из m.bidorbuy.co.ke выразили в HTTP-заголовках всю свою страсть:

x-powered-by: Passion and tiny cute kittens
x-servernickname: The Beast
x-hacker: If you are reading this, maybe you should be working at bidorbuy instead


Бонус


Похоже, что у многих модных IT-компаний есть дополнительные HTTP-заголовки, большинство из которых содержат предложения о работе.

Поэтому я подумал, что было бы здорово добавить дополнительный заголовок и на этот сайт!

Интересно? Проверьте сами!

Спасибо за чтение!
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 10

    0

    Забавно, так что добавлю и наш: server: IC1101


    Главное не увлекаться и делать это осторожно, потому что можно случайно добавить заголовок ко всем ресурсам (вместо например index.html)

      –1
      www.gnuterrypratchett.com — ещё один вариант заголовков, реализующих «GNU» протокол, для того чтобы Терри Пратчетт оставался в нашей памяти.
        +1
        Я тут как-то 10M доменов просканировал ради интереса и запилил артикл небольшой на английском правда =))

        medium.com/@alexanderravikovich/scan-10m-websites-for-x-recruiting-header-in-go-fa85816da994
          +6

          Все это какой-то детский сад. Понимаю если бы для получения подобных пасхалок нужно было приложить хоть какие-то усилия или скиллы программиста. Но просто в заголовках? Ты серьезно Карл?

            +5
            Многие люди вообще не подозревают о каких-то заголовках, консолях и возможностях их просматривать, поэтому это пасхалка «для своих», чтобы улыбнуться.
            +1

            42 — the Ultimate Question of Life, the Universe, and Everything

              +6
              Прошу прощения, но все-таки Answer to the Ultimate Question of Life, the Universe, and Everything
              0
              На icanhazip.com, сервисе, отображающем IP-адрес посетителя плейнтекстом, есь заголовки X-RTFM и X-Security, разъясняющие некоторые моменты.
                +5
                curl -D — lk.megafon.ru

                Server: Jack Daniels
                  0
                  Что-то новое, раньше я находил подобное в сообщениях console.log и html коде

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое