<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Oct 3, 2016 at 8:18 PM, Jeff Burdges <span dir="ltr"><<a href="mailto:burdges@gnunet.org" target="_blank">burdges@gnunet.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div id="gmail-:cgg" class="gmail-a3s gmail-aXjCH gmail-m1578c02affd185b3">Ok.  GETs are not supposed to modify resources, right?  So they should<br>
be considerably safer than POSTs, right?<br></div></blockquote><div><br></div><div>When we are thinking about security (rather than the functionality of a web application) there is often little difference between a GET and a POST. Consider the following examples:</div><div><br></div><div>1. Benign GET / repeated 1000 times per second. That's a DoS on the server</div><div><br></div><div>2. Shellshock. Looks like a benign GET / but nasty payload in User-Agent header</div><div><br></div><div>3. Simple GET but with SQLi in the URI </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div id="gmail-:cgg" class="gmail-a3s gmail-aXjCH gmail-m1578c02affd185b3">
What are the concerns for GETs?  Also, do those concerns apply to truly<br>
static content even?<br></div></blockquote><div><br></div><div>Depends what you mean by 'static content'. If a web site was served entirely from Cloudflare's cache then I wouldn't be worried about #1, #2 or #3 above. Any time we hit the origin web server I would worry.</div><div><br></div></div></div></div>