Annonse

URL-forkortere Prøv 10 forskjellige URL-forkortere som gir deg fordeler ved addonHvor annerledes kan du forkorte en enhetlig ressurssøker? Forkortsystemet er ganske mye en run-of-the-mill-jobb, men trikset ser ut til å være i tilleggene som følger med forkortetjenesten ... Les mer som bit.ly, goo.gl, tinyurl og ow.ly er gode for å gjøre det lettere å dele lenker; du trenger ikke å lime inn en veldig lang, stygg URL i et nettpratvindu eller en e-post for å hjelpe noen med å finne veien til siden du vil at de skal komme til. Men en fersk undersøkelse viste at denne bekvemmeligheten kan komme med en betydelig kostnad for sikkerheten din.

Studien

I løpet av 18 måneder så to forskere ved Cornell Tech på de forkortede nettadressene som ble opprettet av to forskjellige tjenester: Microsoft OneDrive og Google Maps. Begge tjenestene oppretter forkortede lenker for deling av nettsider (OneDrive bruker dem til å dele tilgang til dokumenter, og Google Maps bruker dem til å dele veibeskrivelser eller lokasjoner).

instagram viewer

På grunn av det lille antallet tegn som ble brukt i disse forkortede koblingene, var forskerne i stand til å bruke et brute force-angrep for å finne forkortede URL-er som koblet til faktiske dokumenter. Forskerne analyserte 100.000.000 bit.ly URL-er med tilfeldig valgte sekstegnet-symboler (som “1maQ2JZ”). 42% av alle symbolene løste seg til faktiske fullstendige nettadresser, og nesten 19 500 av disse førte til OneDrive-dokumenter.

borte-i-seks

Forskerne fant også nesten 24 000 000 live lenker når de skannet de femkarakterene som tidligere var brukt av goo.gl/maps, omtrent 10% av disse var for veibeskrivelse.

Å få tilgang til OneDrive-dokumenter og Google Maps-veibeskrivelser er dårlig nok, men forskerne oppdaget at de kunne gjøre enda mer med informasjonen de fikk fra disse koblingene. Ved å analysere standardstrukturen til OneDrive-nettadresser kunne de for eksempel navigere og få tilgang til en rekke OneDrive-kontoer, mange av som de fant var faktisk skrivbare, noe som betyr at de kunne endre filer eller laste opp skadelig programvare som automatisk vil bli lastet ned til eierens datamaskin.

onedrive-forkortede-koblinger

Og med Google Maps oppdaget forskerne mye informasjon som folk sannsynligvis vil ønske å holde private. Ved å se på boligadresser, kunne de komme med utdannede gjetninger om hvilke husstander som inkluderte en person som dro til spesialistklinikker for medisinsk behandling, avhengighetsbehandlingssentre, strippeklubber og abortleverandører. Det har blitt vist at stedsinformasjon er veldig verdifull Hva kan statlige sikkerhetsbyråer fortelle fra telefonens metadata? Les mer å skaffe identifiserende informasjon for enkeltpersoner, og at informasjon kombinert med en slags forkortet reisehistorie kan være veldig nyttig for identitetstyver.

Kartene-short-austin

Hvis du vil se hele den publiserte artikkelen, kan du gjøre det sjekk det ut på arXiv, og en av forskerne publiserte også a blogginnlegg med et nyttig sammendrag.

Endringer gjort

Cornell Tech-forskerne delte resultatene sine med Microsoft og Google, og begge selskapene har tatt skritt for å redusere sannsynligheten for at brukerne deres kan bli kompromittert av forkortede nettadresser.

URL-forkortelse ble fjernet fra OneDrive-grensesnittet, og metoden som ble brukt for å få mer informasjon om brukerens konto, er ikke lenger fungerer (til tross for Microsofts benektelse av at endringene deres hadde noe med denne rapporten å gjøre, eller at studien til og med avslørte en sikkerhet sårbarhet). Gamle forkortede lenker er imidlertid fortsatt sårbare.

Kartene-forkortede-link

Google Maps bruker nå 11- og 12-tegners tegn i stedet for de fem karakterene som ble tilbudt før, noe som gjør det betydelig vanskeligere å avsløre dem med et brute force-angrep. Google gjorde det også vanskeligere for et stort antall nettadresser å skannes på en gang.

Vær forsiktig

Selv om disse to tjenestene har tatt skritt for å dempe trusselen, vil sannsynligvis flere sårbarheter i koblingsforkortelsesprosessen bli funnet en gang i fremtiden (flere og kraftigere datamaskiner Kvantedatamaskiner: slutten av kryptografi?Kvanteberegning som en idé har eksistert en stund - den teoretiske muligheten ble opprinnelig introdusert i 1982. I løpet av de siste årene har feltet kommet nærmere praktisk. Les mer vil helt sikkert hjelpe). Da jeg nylig sjekket for å se om populære forkortningstjenester brukte et lite antall tegn i tokenene sine, hadde både ow.ly og tinyurl seks tegn, og bit.ly brukte syv.

bitly-BUO-link

Selv om begge deler er bedre enn Googles fem foregående, er det fortsatt bekymringsfullt at folk kan sende tilgang til viktige filer eller personlig informasjon på denne måten. Cornell Tech-forskerne demonstrerte at en enkel skrapekraft-skanning av disse URL-ene kan avsløre en overraskende mengde informasjon om spesifikke brukere, inkludert noen få av viktigste informasjonsstykker for identitetstyveri 10 stykker informasjon som brukes til å stjele identiteten dinIdentitetstyveri kan være kostbart. Her er de 10 opplysningene du trenger for å beskytte slik at identiteten din ikke blir stjålet. Les mer .

Så hva bør du gjøre? For å være helt trygg, bare ikke bruk URL-forkortere til noe som kan være verdifullt for en hacker, identitetstyv eller annen feilaktig. Forkortelser er veldig nyttige, men mesteparten av tiden vil en lang URL fungere helt fint. Det er stort, stygt og tar mye plass i et e-post- eller chatvindu, men det er også mye tryggere.

Kartene-url-fullt-epost

Vær også oppmerksom på at mange andre tjenester tilbyr forkortelse av nettadresser, og det kan være lurt å være forsiktig med disse også. Hvordan hver av disse tjenestene håndterer tillatelser med forkortede nettadresser, vil sannsynligvis variere, men hvis du tilfeldigvis ga det bort tilgang til et Flickr, Google Photos, Google Drive, Twitter, Facebook eller annet innlegg, er det vanskelig å vite hva som vil skje.

Hvis du har fått valget mellom å forkorte en URL med et symbol som er lengre enn seks eller syv tegn, bør du ta den. Forskerne sa i papiret at 11- og 12-tegners symboler som brukes av Google Maps ikke er brute-tvang (i det minste med dagens teknologi og en rimelig innsats), så det er sannsynligvis bra å sikte på minst 10 idé.

Eller bare lag din egen URL-forkortelse Fordelene med å sette opp din egen URL-forkortelse og hvordan du gjør detI en verden på 140 tegn, og korte oppmerksomhetsspenn, må du få så mye tekst som mulig i Twitter-statusen din, hvis du effektivt skal få frem meldingen din. Les mer og sørg for at den bruker nok tegn i URL-kodene!

Bruker du URL-forkortere?

Det virker som om avkortningstjenester øker i popularitet, med nye tjenester som dukker opp jevnlig. Twitter's 140-tegnsgrense og vanskeligheten med arbeider med lange tekststrenger på mobile enheter URL-forkortelse er den sveitsiske kniven til koblingsdeling og sparing på AndroidDet som skiller URL Shortener ut er hvor enkelt det gjør det for deg å lagre koblinger, kopiere dem til utklippstavlen eller dele dem direkte fra en meny. Les mer har sannsynligvis bidratt til deres nytte, og muligheten til å sende en lenke i et mye mer seervennlig format er absolutt tiltalende. Det er ingen som argumenterer for at de er veldig praktiske, men bekvemmeligheten er kanskje ikke verdt risikoen.

Bruker du en URL-forkortningstjeneste? Hvilken bruker du? Bruker du det til sensitive dokumenter, eller bare for offentlig tilgjengelige lenker? Er du nå bekymret for sikkerheten til koblingene dine? Del tankene dine nedenfor!

Bildepoeng: Georgiev og Shmatikov via arXiv.

Dann er en innholdsstrategi og markedskonsulent som hjelper bedrifter med å generere etterspørsel og potensielle kunder. Han blogger også om strategi og innholdsmarkedsføring på dannalbright.com.