Reklama

Skracacze URL Wypróbuj 10 różnych skracaczy adresów URL, które dają dodatkowe korzyściJak inaczej możesz skrócić jednolity lokalizator zasobów? Cóż, system skracania jest prawie codziennością, ale wydaje się, że sztuczka polega na dodatkach, które pochodzą z usługi skracania ... Czytaj więcej takie jak bit.ly, goo.gl, tinyurl i ow.ly świetnie nadają się do ułatwienia udostępniania linków; nie musisz wklejać naprawdę długiego, brzydkiego adresu URL do okna czatu lub wiadomości e-mail, aby pomóc komuś znaleźć drogę do strony, do której chcesz przejść. Jednak ostatnie badania wykazały, że ta wygoda może wiązać się ze znacznymi kosztami dla twojego bezpieczeństwa.

Badania

W ciągu 18 miesięcy dwóch naukowców z Cornell Tech spojrzało na skrócone adresy URL utworzone przez dwie różne usługi: Microsoft OneDrive i Google Maps. Obie usługi tworzą skrócone linki do udostępniania stron internetowych (OneDrive używa ich do udostępniania dostępu do dokumentów, a Google Maps używa ich do udostępniania wskazówek lub lokalizacji).

instagram viewer

Z powodu małej liczby znaków użytych w tych skróconych linkach badacze mogli użyć ataku siłowego, aby znaleźć skrócone adresy URL, które prowadzą do rzeczywistych dokumentów. Badacze przeanalizowali 100 000 000 bitowych adresów URL z losowo wybranymi sześcioznakowymi tokenami (np. „1maQ2JZ”). 42% wszystkich tokenów zostało przetworzonych na rzeczywiste pełne adresy URL, a prawie 19 500 z nich prowadziło do dokumentów OneDrive.

poszedł w szóstkę

Badacze znaleźli również prawie 24 000 000 linków na żywo podczas skanowania pięcioznakowych żetonów używanych wcześniej przez goo.gl/maps, z których około 10% służyło do wskazówek dojazdu.

Uzyskanie dostępu do dokumentów OneDrive i wskazówek w Mapach Google jest wystarczająco złe, ale naukowcy odkryli, że mogliby zrobić jeszcze więcej dzięki informacjom odzyskanym z tych linków. Na przykład, analizując standardową strukturę adresów URL OneDrive, mogli nawigować i uzyskać dostęp do wielu kont OneDrive, z których wiele które okazały się w rzeczywistości do zapisu, co oznacza, że ​​mogą zmieniać pliki lub przesyłać złośliwe oprogramowanie, które zostanie automatycznie pobrane do właściciela komputer.

onedrive-skrócone linki

Dzięki Mapom Google naukowcy odkryli wiele informacji, które ludzie prawdopodobnie chcieliby zachować prywatność. Patrząc na adresy zamieszkania, mogli zgadywać, które gospodarstwa domowe obejmowały osobę, która udał się do specjalistycznych klinik w celu leczenia, ośrodków leczenia uzależnień, klubów ze striptizem i dostawców aborcji. Wykazano, że informacje o lokalizacji są bardzo cenne Co rządowe agencje bezpieczeństwa mogą odczytać z metadanych twojego telefonu? Czytaj więcej w uzyskiwaniu informacji identyfikujących osoby, a informacje te w połączeniu ze swoistą skróconą historią podróży mogą być bardzo przydatne dla złodziei tożsamości.

mapy-skracacz-austin

Jeśli chcesz zobaczyć pełny opublikowany artykuł, możesz sprawdź to na arXiv, a jeden z badaczy również opublikował post na blogu z przydatnym podsumowaniem.

Zmiany dokonane

Badacze Cornell Tech udostępnili swoje wyniki firmom Microsoft i Google, a obie firmy podjęły kroki w celu zmniejszenia prawdopodobieństwa narażenia użytkowników na niebezpieczeństwo przez skrócenie adresów URL.

Skracanie adresów URL zostało usunięte z interfejsu OneDrive, a metoda wykorzystana do uzyskania dodatkowych informacji o koncie użytkownika nie jest już dostępna działa (pomimo odmowy Microsoftu, że ich zmiany miały coś wspólnego z tym raportem lub że badanie ujawniło nawet bezpieczeństwo słaby punkt). Stare skrócone linki pozostają jednak podatne na ataki.

mapy-skrócony link

Mapy Google używają teraz tokenów 11- i 12-znakowych zamiast pięciu oferowanych wcześniej, co znacznie utrudnia ich ujawnienie za pomocą ataku brutalnej siły. Google utrudniło także skanowanie ogromnej liczby adresów URL jednocześnie.

Bądź ostrożny

Mimo że te dwie usługi podjęły kroki w celu ograniczenia zagrożenia, w przyszłości może pojawić się więcej luk w procesie skracania łączy (coraz mocniejsze komputery Komputery kwantowe: koniec kryptografii?Informatyka kwantowa jako pomysł istnieje już od jakiegoś czasu - teoretyczna możliwość została pierwotnie wprowadzona w 1982 roku. W ciągu ostatnich kilku lat dziedzina ta zbliżała się do praktyczności. Czytaj więcej z pewnością pomoże). Kiedy ostatnio sprawdziłem, czy popularne usługi skracania używają niewielkiej liczby znaków w swoich tokenach, zarówno ow.ly, jak i tinyurl miały sześcioznakowe tokeny, a bit.ly używał siedmiu.

bitly-muo-link

Chociaż oba są lepsze niż poprzednie pięć Google, nadal martwi się, że ludzie mogą w ten sposób wysyłać dostęp do ważnych plików lub danych osobowych. Badacze Cornell Tech wykazali, że prosty skan tych adresów URL metodą brutalnej siły może ujawnić zaskakującą ilość informacji na temat konkretnych użytkowników, w tym kilku najważniejsze informacje dotyczące kradzieży tożsamości 10 fragmentów informacji wykorzystywanych do kradzieży tożsamościKradzież tożsamości może być kosztowna. Oto 10 informacji, które musisz chronić, aby Twoja tożsamość nie została skradziona. Czytaj więcej .

Co powinieneś zrobić? Aby być całkowicie bezpiecznym, nie używaj skracaczy adresów URL do niczego, co może być cenne dla hakera, złodzieja tożsamości lub innych wykroczeń. Skracacze są naprawdę przydatne, ale przez długi czas długi URL będzie działał dobrze. Jest duży, brzydki i zajmuje dużo miejsca w oknie wiadomości e-mail lub czatu, ale jest też znacznie bezpieczniejszy.

Maps-url-full-email

Pamiętaj też, że wiele innych usług oferuje skracanie adresów URL, więc możesz też być ostrożny z nimi. Sposób, w jaki każda z tych usług obsługuje uprawnienia ze skróconymi adresami URL, może się różnić, ale jeśli przypadkowo podałeś poza dostępem do Flickr, Zdjęć Google, Dysku Google, Twittera, Facebooka lub innego postu, trudno jest wiedzieć, co będzie zdarzyć.

Jeśli masz możliwość skrócenia adresu URL za pomocą tokena dłuższego niż sześć lub siedem znaków, powinieneś go wziąć. Naukowcy stwierdzili w swoim artykule, że tokenów 11 i 12 znaków używanych w Mapach Google nie można poddać działaniu siły (przynajmniej przy obecnej technologii i rozsądnym nakładzie pracy), więc celowanie na co najmniej 10 jest prawdopodobnie dobrym pomysłem pomysł.

Lub tylko stwórz własny skracacz URL Zalety konfigurowania własnego skracacza URL i jak to zrobićW świecie 140 znaków i krótkiej uwagi musisz uzyskać jak najwięcej tekstu w swoim statusie na Twitterze, jeśli chcesz skutecznie przekazać swoją wiadomość. Czytaj więcej i upewnij się, że używa wystarczającej liczby znaków w swoich tokenach URL!

Czy używasz skracaczy URL?

Wydaje się, że popularność usług skracających rośnie, a nowe usługi pojawiają się regularnie. Limit 140 znaków na Twitterze i trudność praca z długimi ciągami tekstu na urządzeniach mobilnych URL Shortener to szwajcarski nóż do udostępniania i zapisywania linków na AndroidzieTo, co wyróżnia URL Shortener, to łatwość zapisywania linków, kopiowania ich do schowka lub udostępniania ich bezpośrednio z menu. Czytaj więcej prawdopodobnie przyczyniły się do ich przydatności, a możliwość wysłania linku w znacznie bardziej przyjaznym dla widza formacie jest z pewnością pociągająca. Nie ma argumentów, że są bardzo wygodne, ale wygoda może nie być warta ryzyka.

Czy korzystasz z usługi skracania adresów URL? Z którego korzystasz? Czy używasz go do poufnych dokumentów, czy tylko do publicznie dostępnych łączy? Czy martwisz się teraz o bezpieczeństwo swoich linków? Podziel się swoimi przemyśleniami poniżej!

Kredyty obrazkowe: Georgiev i Shmatikov przez arXiv.

Dann jest konsultantem ds. Strategii i marketingu treści, który pomaga firmom generować popyt i potencjalnych klientów. Bloguje także na temat strategii i content marketingu na dannalbright.com.