Holger Hellingers' Polente

Tag: 22. August 2025

  • Die HTML Bombe (Zip Bomb): Kleine Datei, großer Knall – in sicherer Demo erklärt

    Kurz erklärt (TL;DR)

    Die HTML Bombe ist eine winzige, vor komprimierte HTML Datei (gzip/brotli), die der Browser beim Laden automatisch entpackt. Darin steckt ein riesiger Kommentarblock (z.B. Millionen „H“), der im Speicher auf mehrere Gigabyte anwächst und Browser/Parser abstürzen lassen kann. Der Entwickler ache zeigt, wie sich das als gültige HTML Seite samt Nginx Auslieferung umsetzen lässt – mit extremem Kompressionsverhältnis (~1:1030).

    Hinweis: Oft wird umgangssprachlich von „verschlüsselt“ gesprochen. Technisch ist es Kompression (gzip/brotli), die über Content-Encoding automatisch entpackt wird.

    Was passiert technisch?

    Gültiges HTML + riesiger Kommentar: Die Seite enthält einen sehr großen HTML Kommentar aus identischen Zeichen („H“). Dadurch bleibt das Markup formal korrekt.

    Vor Kompression & Auslieferung: Die „schwere“ Seite wird vorab komprimiert (gzip/brotli) und z.B. per Nginx samt gzip_static/brotli_static ausgeliefert. Der Client entpackt automatisch – und plötzlich liegt ein gigantischer String im Speicher.

    Asymmetrie: Serverseitig kostet das fast nichts, während Client/Parser massiv RAM/CPU opfern müssen – bis zum Crash.

    Sicherheits & EthikHinweise

    Risiko für echte Nutzer: Wer die Seite versehentlich öffnet, riskiert einen Browser Absturz.

    robots.txt & Klarheit: Ache empfiehlt, die Datei explizit zu disallowen, um legitime Crawler nicht auszubremsen.

    Recht & Fairness: Der Ansatz ist eine Falle gegen aggressives Crawling. Prüfe rechtliche Rahmenbedingungen und setze lieber auf defensive Maßnahmen (Rate Limiting, Bot Management), bevor du zu drastischen Mitteln greifst

    Ungefährliche Demo (Mini Bomb)

    Die folgende Demo zeigt nur das Prinzip der Expansion, ohne nennenswerte Last zu erzeugen. Sie nutzt keine Kompression/Servertricks, sondern baut lokal einen überschaubaren Text (50 KB). Bitte keine Werte erhöhen – die Demo ist absichtlich klein gehalten.

    <!doctype html>
<meta charset="utf-8" />
<title>HTML?Bombe – sichere Demo</title>
<style>
  body { font: 14px/1.4 system-ui, sans-serif; max-width: 60ch; margin: 2rem auto; padding: 0 1rem; }
  button { padding: .6rem 1rem; border: 1px solid #888; border-radius: 6px; background: #f5f5f5; cursor: pointer; }
  .muted { color: #666; }
  #out { white-space: pre-wrap; word-break: break-word; border: 1px dashed #ccc; padding: 1rem; margin-top: 1rem; max-height: 240px; overflow: auto; }
</style>
<h1>HTML „Bomben“ Prinzip – sichere Mini Demo</h1>
<p class="muted">
  Diese Demo erzeugt lokal ca. 50 KB Text (viele „H“). Das veranschaulicht das
  <em>Expansion-Prinzip</em> ohne Gefahr für Browser/Server.
</p>
<button id="go">Demo starten</button>
<p id="info" class="muted"></p>
<pre id="out" aria-live="polite"></pre>

<script>
  // Bitte NICHT erhöhen – bewusst klein.
  const TOTAL_CHARS = 50_000;      // ~50 KB
  const CHUNK_SIZE  = 1_000;       // in Schritten arbeiten, um UI responsiv zu halten

  const out  = document.getElementById('out');
  const info = document.getElementById('info');
  document.getElementById('go').addEventListener('click', async () => {
    out.textContent = '';
    info.textContent = 'Erzeuge Text …';
    const chunk = 'H'.repeat(CHUNK_SIZE);
    let produced = 0;

    // Schrittweise "aufblasen"
    while (produced < TOTAL_CHARS) {
      out.textContent += chunk;
      produced += CHUNK_SIZE;
      await new Promise(r => setTimeout(r)); // UI atmen lassen
    }

    const kb = Math.round(out.textContent.length / 1024);
    info.textContent = `Fertig: ~${kb} KB Text im Speicher & UI.`;
  });
</script>

    Warum das lehrreich ist:
    In echt würde eine winzige, stark komprimierte Antwort (z.B. 10 KB gzip) beim Entpacken plötzlich gigantisch. Unsere Demo imitiert das vergrößern – aber stoppt bei ~50 KB, sodass alles stabil bleibt.

    Technische Einordnung zur Original Idee von ache

    Kommentar Trick: Der Bombeninhalt liegt in einem HTML Kommentar, damit der Parser die Seite als gültig akzeptiert.

    Kompressionsraten: Ache berichtet von einem Verhältnis um 1:1030 (z.B. ~10 MiB komprimiert vs. ~10 GiB entpackt).

    Auslieferung mit Nginx: Mit gzip_static/brotli_static wird die vor komprimierte Datei direkt bedient; der Browser entpackt anhand von Content-Encoding.

    Beobachtetes Verhalten: Firefox führt zu NS_ERROR_OUT_OF_MEMORY, Chrome zeigt früh einen SIGKILL Fehlerbildschirm – also genau der gewünschte Out of Memory Effekt.

    Fazit

    Die HTML Bombe ist ein cleveres, aber zweischneidiges Proof of Concept: minimaler Serveraufwand, maximale Clientlast. Als Lehrbeispiel macht sie das Problem deutlich – produktiv ist sie heikel. Wer Inhalte schützen will, sollte vorrangig auf saubere Bot Erkennung, Quoten & Rate Limits setzen; die Bomben Idee bleibt ein Warnsignal dafür, wie weit das Wettrüsten bereits ist.

    Quellen & weiterführend:

    Ache: A valid HTML zip bomb (Details zu HTML Kommentar, gzip/brotli, Nginx Setup, Beobachtungen).

    Fediverse-Reaktionen

  • Die HTML-Bombe: Digitale Abwehr gegen KI-Crawler

    Wenn KI-Crawler zu viel werden

    Viele Webmaster sehen sich mit einer neuen Plage konfrontiert: Unternehmen die von Daten anderer Leute leben, crawlen Webseiten in großem Stil. Dabei werden Inhalte massenhaft kopiert, oft ohne Rücksicht auf Serverlast oder den Willen der Betreiber. Selbst robots.txt-Dateien, die traditionell als Sperre für Suchmaschinen galten, werden ignoriert.

    Während Dienste wie Google sich früher daran hielten, ziehen viele KI-Crawler gnadenlos jede Seite – und sorgen so für unnötige Kosten, höhere Last und im schlimmsten Fall für Ausfälle.

    Die Idee hinter der HTML-Bombe

    Der Programmierer ache hat nun eine kreative Verteidigungsmaßnahme vorgestellt: die HTML-Bombe.
    Dabei handelt es sich um eine winzige, zunächst unscheinbare HTML-Datei, die verschlüsselt auf einem Server liegt. Sobald ein Browser oder ein Crawler sie lädt, wird der Inhalt entschlüsselt und ein kleines Skript ausgeführt.

    Dieses Skript sorgt dafür, dass die Seite sofort mit Milliarden von Zeichen gefüllt wird – konkret dem Buchstaben „H“, wiederholt in astronomischer Zahl. Innerhalb von Sekunden wächst die Datei auf über 10 Gigabyte an.

    Wirkung: Crash auf Knopfdruck

    Für den Nutzer bedeutet das: Jeder, der die Seite im Browser aufruft, erlebt einen Absturz oder zumindest eine eingefrorene Sitzung.
    Für KI-Crawler ist es noch unangenehmer – das System versucht die gigantische Datenmenge zu verarbeiten, verbraucht dafür CPU und Speicher und bricht am Ende zusammen. Manche Bots müssen danach sogar neu starten.

    Abwehr oder Waffe?

    Die HTML-Bombe ist ein extremes, aber wirksames Mittel, um ungewolltes Crawlen zu erschweren. Sie ist kein Filter, der Bots blockiert – sondern eine Falle, die sie aktiv lahmlegt.

    Für Webmaster stellt sich die Frage: Ist das eine legitime Verteidigung oder eine digitale Waffe? Befürworter sehen darin ein notwendiges Gegengewicht zu den aggressiven Methoden mancher KI-Unternehmen. Kritiker warnen dagegen vor unbeabsichtigten Nebenwirkungen – etwa wenn ein normaler Besucher versehentlich auf die Seite gelangt.

    Fazit

    Die HTML-Bombe zeigt eindrucksvoll, wie kreativ Entwickler auf das Problem reagieren. Ob sich diese Methode durchsetzt oder eher als „Proof of Concept“ bleibt, wird sich zeigen. Klar ist aber: Die Debatte über faire und respektvolle Formen des Web-Crawlings steht erst am Anfang.