Reklame

URL-forkortere Prøv 10 forskellige URL-forkortere, der giver dig fordele ved AddonHvor forskelligt kan du forkorte en ensartet ressource locator? Nå, forkortelsessystemet er stort set et kørt arbejde, men tricket ser ud til at være i de ekstramateriale, der følger med afkortningstjenesten ... Læs mere som bit.ly, goo.gl, tinyurl og ow.ly er dejlige til at gøre det lettere at dele links; behøver du ikke indsætte en rigtig lang, grim URL i et chatvindue eller en e-mail for at hjælpe nogen med at finde vej til den side, du vil have dem til at komme til. Men en nylig undersøgelse viste, at denne bekvemmelighed kan medføre en betydelig omkostning for din sikkerhed.

Studiet

I løbet af 18 måneder kiggede to forskere på Cornell Tech på de forkortede URL'er oprettet af to forskellige tjenester: Microsoft OneDrive og Google Maps. Begge tjenester opretter forkortede links til deling af websider (OneDrive bruger dem til at dele adgang til dokumenter, og Google Maps bruger dem til at dele retninger eller placeringer).

instagram viewer

På grund af det lille antal tegn, der blev brugt i disse forkortede links, var forskerne i stand til at bruge et brute force-angreb til at finde forkortede URL'er, der var knyttet til faktiske dokumenter. Forskerne analyserede 100.000.000 bit.ly URL-adresser med tilfældigt valgte tegn med seks tegn (som “1maQ2JZ”). 42% af alle tokens løst til faktiske fulde webadresser, og næsten 19.500 af dem førte til OneDrive-dokumenter.

gået-i-seks

Forskerne fandt også næsten 24.000.000 levende links, når de scannede de fem-tegners symboler, der tidligere var brugt af goo.gl/maps, hvoraf ca. 10% var til kørselsvejledning.

At få adgang til OneDrive-dokumenter og Google Maps-retninger er dårlig nok, men forskerne opdagede, at de kunne gøre endnu mere med de oplysninger, de gendannede fra disse links. For eksempel ved at analysere standardstrukturen i OneDrive-URL'er, var de i stand til at navigere og få adgang til et antal OneDrive-konti, hvoraf mange som de fandt faktisk kunne skrives, hvilket betyder, at de kunne ændre filer eller uploade malware, der automatisk blev downloadet til ejerens computer.

onedrive-forkortede links

Og med Google Maps opdagede forskerne en masse information, som folk sandsynligvis ønsker at holde private. Ved at kigge på boligadresser kunne de komme med uddannede gætte om, hvilke husstande der omfattede en person, som gik til specialistklinikker for medicinsk behandling, afhængighedsbehandlingscentre, striberklubber og abortudbydere. Det er vist, at placeringsoplysninger er meget værdifulde Hvad kan regeringens sikkerhedsbureauer fortælle fra din telefons metadata? Læs mere ved at få identificerende oplysninger for enkeltpersoner, og at information kombineret med en slags forkortet rejsehistorie kunne være meget nyttig for identitetstyver.

kort-shortener-austin

Hvis du vil se den fulde offentliggjorte artikel, kan du gøre det tjek det ud på arXiv, og en af ​​forskerne offentliggjorde også en blogindlæg med et nyttigt resumé.

Ændringer foretaget

Cornell Tech-forskerne delte deres resultater med Microsoft og Google, og begge virksomheder har taget skridt til at mindske sandsynligheden for, at deres brugere kan kompromitteres af forkortede URL-adresser.

URL-forkortelse blev fjernet fra OneDrive-grænsefladen, og metoden, der blev brugt til at få mere information om brugerens konto, er ikke længere fungerer (trods Microsofts benægtelse af, at deres ændringer havde noget at gøre med denne rapport, eller at undersøgelsen endda afslørede en sikkerhed sårbarhed). Gamle forkortede links er dog stadig sårbare.

kort-forkortede-link

Google Maps bruger nu 11- og 12-karakter-symboler i stedet for de fem-karakterer, der blev tilbudt før, hvilket gør det markant sværere at afsløre dem med et brute force-angreb. Google gjorde det også vanskeligere for et stort antal webadresser at blive scannet på én gang.

Vær forsigtig

Selvom disse to tjenester har taget skridt til at afhjælpe truslen, vil muligheden for flere sårbarheder i forbindelse med forkortelse af link sandsynligvis blive fundet engang i fremtiden (flere og mere kraftfulde computere Kvantecomputere: slutningen af ​​kryptografi?Kvanteberegning som en idé har eksisteret i et stykke tid - den teoretiske mulighed blev oprindeligt introduceret i 1982. I løbet af de sidste par år er feltet blevet tættere på det praktiske. Læs mere vil bestemt hjælpe). Da jeg for nylig kontrollerede for at se, om populære forkortelsestjenester brugte et lille antal tegn i deres tokens, havde både ow.ly og tinyurl seks tegn på to tegn, og bit.ly brugte syv.

bitly-Muo-link

Selvom begge er bedre end Googles foregående fem, er det stadig bekymrende, at folk kunne sende adgang til vigtige filer eller personlige oplysninger på denne måde. Cornell Tech-forskerne demonstrerede, at en simpel brute-force-scanning af disse URL'er kan afsløre en overraskende mængde information om specifikke brugere, herunder et par af de vigtigste oplysninger om identitetstyveri 10 stykker information, der bruges til at stjæle din identitetIdentitetstyveri kan være dyrt. Her er de 10 oplysninger, du har brug for for at beskytte, så din identitet ikke bliver stjålet. Læs mere .

Så hvad skal du gøre? For at være helt sikker skal du bare ikke bruge URL-forkortere til noget, der kan være værdifuldt for en hacker, identitetstyv eller anden forkert. Forkortere er virkelig nyttige, men for det meste fungerer en lang URL helt fint. Det er stort, grimt og tager meget plads i en e-mail- eller chatvindue, men det er også meget sikrere.

kort-url-fuld-mail

Vær også opmærksom på, at mange andre tjenester tilbyder URL-forkortelse, og du vil måske også være forsigtig med dem. Hvordan hver af disse tjenester håndterer tilladelser med forkortede webadresser, er sandsynligvis forskellige, men hvis du ved en fejltagelse har givet væk adgang til et Flickr, Google Fotos, Google Drive, Twitter, Facebook eller et andet indlæg, det er svært at vide, hvad der vil ske.

Hvis du har fået valget om at forkorte en URL med et token, der er længere end seks eller syv tegn, skal du tage den. Forskerne sagde i deres papir, at symbolerne på 11 og 12 tegn, der bruges af Google Maps, ikke er brute-tvang (i det mindste med den nuværende teknologi og en rimelig indsats), så det er sandsynligvis et godt mål at sigte mod mindst 10 ide.

Eller bare Lav din egen URL-forkortelse Fordelene ved at opsætte din egen URL-forkortelse, og hvordan man gør detI en verden på 140 karakterer og korte opmærksomhedsspænd skal du få så meget tekst som muligt i din Twitter-status, hvis du effektivt vil få din besked på tværs. Læs mere og sørg for, at det bruger nok tegn i sine URL-tokens!

Bruger du URL-forkortere?

Afkortningstjenester ser ud til at stige i popularitet, med nye tjenester, der jævnligt dukker op. Twitter's 140-karakterbegrænsning og vanskeligheden ved arbejder med lange tekststrenge på mobile enheder URL-forkorter er den schweiziske kniv til deling af link og gemme på AndroidDet, der adskiller URL Shortener, er, hvor let det gør det for dig at gemme links, kopiere dem til et udklipsholder eller dele dem direkte fra en menu. Læs mere har sandsynligvis bidraget til deres nyttighed, og evnen til at sende et link i et meget mere seervenligt format er bestemt tiltalende. Der er ikke noget, der argumenterer for, at de er meget praktiske, men bekvemmeligheden er måske ikke værd at risikoen.

Bruger du en URL-afkortningstjeneste? Hvilken bruger du? Bruger du det til følsomme dokumenter, eller bare til offentligt tilgængelige links? Er du nu bekymret for sikkerheden i dine links? Del dine tanker nedenfor!

Billedkreditter: Georgiev og Shmatikov via arXiv.

Dann er en indholdsstrategi og marketingkonsulent, der hjælper virksomheder med at skabe efterspørgsel og kundeemner. Han blogger også om strategi og indholdsmarkedsføring på dannalbright.com.