Reklama

URL skrátenie Vyskúšajte 10 rôznych skrátovačov adries URL, ktoré vám dávajú ďalšie výhodyAko inak môžete skrátiť jednotný vyhľadávač zdrojov? Systém skracovania je do značnej miery bežnou prácou, ale trik sa zdá byť v kompartoch, ktoré prichádzajú so službou skracovania ... Čítaj viac Rovnako ako bit.ly, goo.gl, tinyurl a ow.ly sú skvelé na uľahčenie zdieľania odkazov; nemusíte do okna rozhovoru alebo e-mailu vkladať skutočne dlhú, škaredú adresu URL, aby ste niekomu pomohli nájsť cestu na stránku, na ktorú sa majú dostať. Nedávna štúdia však ukázala, že toto pohodlie môže mať za následok značné náklady na vašu bezpečnosť.

Štúdium

V priebehu 18 mesiacov sa dvaja vedci v spoločnosti Cornell Tech zamerali na skrátené adresy URL vytvorené dvoma rôznymi službami: Microsoft OneDrive a Google Maps. Obe služby vytvárajú skrátené odkazy na zdieľanie webových stránok (OneDrive ich používa na zdieľanie prístupu k dokumentom a Mapy Google ich používa na zdieľanie smerov alebo miest).

Kvôli malému počtu znakov použitých v týchto skrátených odkazoch boli vedci schopní použiť útok hrubou silou na nájdenie skrátených URL, ktoré odkazovali na skutočné dokumenty. Vedci analyzovali 100 000 000 bitových URL s náhodne vybranými šesťmiestnymi znakmi (napríklad „1maQ2JZ“). 42% všetkých tokenov sa rozhodlo pre skutočné úplné adresy URL a takmer 19 500 z nich viedlo k dokumentom OneDrive.

instagram viewer

preč-in-six

Vedci tiež našli takmer 24 000 000 živých odkazov pri skenovaní piatich znakových tokenov, ktoré predtým používali goo.gl/maps, z ktorých asi 10% smerovalo do smerov jazdy.

Prístup k dokumentom OneDrive a trasám v Mapách Google je dosť zlý, ale vedci zistili, že s informáciami, ktoré získali z týchto odkazov, by mohli urobiť ešte viac. Napríklad analýzou štandardnej štruktúry adries URL OneDrive sa im podarilo navigovať a získať prístup k viacerým účtom OneDrive, mnohým z nich. ktoré zistili, že boli skutočne zapisovateľné, čo znamená, že mohli meniť súbory alebo nahrávať malvér, ktorý by sa automaticky stiahol do vlastníctva vlastníka výpočtovej.

onedrive-skrátené lamely

S Mapami Google objavili vedci množstvo informácií, ktoré by ľudia pravdepodobne chceli mať v súkromí. Pri pohľade na adresy bydliska by mohli robiť vzdelané odhady, ktoré domácnosti zahŕňajú osobu, ktorá išiel na špecializované kliniky pre lekárske ošetrenie, strediská pre liečbu závislosti, striptízové ​​kluby a poskytovateľov potratov. Ukázalo sa, že informácie o polohe sú veľmi cenné Čo môžu vládne bezpečnostné agentúry povedať z metadát vášho telefónu? Čítaj viac pri získavaní identifikačných informácií pre jednotlivcov a tieto informácie kombinované s akoukoľvek skrátenou cestovnou históriou by mohli byť pre zlodejov identity veľmi užitočné.

mapy-skracovač-Austin

Ak chcete vidieť celý uverejnený článok, môžete pozrite sa na to na webe arXiv, a jeden z výskumných pracovníkov tiež publikoval a blogový príspevok s užitočným zhrnutím.

Vykonané zmeny

Vedci spoločnosti Cornell Tech zdieľali svoje výsledky so spoločnosťami Microsoft a Google a obe spoločnosti podnikli kroky na zníženie pravdepodobnosti, že by ich používatelia mohli byť skrátení pomocou skrátených adries URL.

Skrátenie adresy URL bolo odstránené z rozhrania OneDrive a metóda použitá na získanie ďalších informácií o používateľskom účte už neexistuje funguje (napriek tomu, že spoločnosť Microsoft poprela, že by ich zmeny mali niečo spoločné s touto správou alebo že štúdia dokonca odhalila bezpečnosť) zraniteľnosť). Staré skrátené spojenia však zostávajú zraniteľné.

mapy-skrátené-link

Mapy Google teraz používajú namiesto znakov ponúkaných päť znakov 11 a 12 znakových tokenov, čo výrazne sťažuje ich odhalenie útokom hrubou silou. Google tiež sťažil skenovanie veľkého počtu adries URL naraz.

Buďte opatrní

Aj keď tieto dve služby podnikli kroky na zmiernenie hrozby, pravdepodobnosť výskytu ďalších zraniteľností v procese skracovania prepojení bude pravdepodobne nájdená niekedy v budúcnosti (stále výkonnejšie počítače Kvantové počítače: koniec kryptografie?Kvantové výpočty ako myšlienka už nejakú dobu existujú - teoretická možnosť bola pôvodne zavedená v roku 1982. Počas posledných niekoľkých rokov sa toto pole priblížilo praktickosti. Čítaj viac určite pomôže). Keď som nedávno skontroloval, či populárne služby pre skrátenie používali vo svojich tokenoch malé množstvo znakov, mali vlastne aj tinyurl šesťmiestne znaky a bit.ly použili sedem.

bitly-Muo-link

Aj keď sú obidve lepšie ako tých predchádzajúcich päť, stále je znepokojujúce, že ľudia týmto spôsobom môžu posielať prístup k dôležitým súborom alebo osobným informáciám. Výskumníci spoločnosti Cornell Tech preukázali, že jednoduché skenovanie týchto adries URL hrubou silou môže odhaliť prekvapivé množstvo informácií o konkrétnych používateľoch, vrátane niekoľkých najdôležitejšie informácie pre krádež identity 10 častí informácií, ktoré sa používajú na odcudzenie vašej identityKrádež identity môže byť nákladná. Tu je 10 informácií, ktoré musíte chrániť, aby nedošlo k odcudzeniu vašej identity. Čítaj viac .

Čo by ste mali robiť? Ak chcete byť úplne v bezpečí, nepoužívajte skrátenie adries URL na nič, čo by mohlo byť pre hackerov, zlodejov identity alebo iných podvodníkov užitočné. Prípravky na skracovanie tuku sú skutočne užitočné, ale dlhú adresu URL bude väčšinou fungovať dobre. Je to veľké, škaredé a zaberá veľa miesta v e-maile alebo v okne rozhovoru, ale je tiež oveľa bezpečnejšie.

mapy-url-full-email

Nezabúdajte tiež, že mnoho ďalších služieb ponúka skrátenie adresy URL, a možno by ste s nimi mali byť opatrní. Spôsob, akým každá z týchto služieb spracúva povolenia so skrátenými webovými adresami, sa pravdepodobne bude líšiť, ale ak ste to omylom dali vzdialený prístup na Flickr, Fotky Google, Disk Google, Twitter, Facebook alebo iný príspevok, je ťažké vedieť, čo bude diať.

Ak máte možnosť skrátiť webovú adresu pomocou tokenu, ktorý je dlhší ako šesť alebo sedem znakov, mali by ste ju vziať. Vedci vo svojom článku uviedli, že tokeny s 11 a 12 znakmi, ktoré používajú Mapy Google, nie sú brutálne vynútiteľné (aspoň so súčasnou technológiou a primeraným úsilím), takže zameranie na najmenej 10 je pravdepodobne dobré nápad.

Alebo len vytvorte si skrátenú adresu URL Výhody nastavenia vlastného skrátenia adresy URL a ako to urobiťVo svete so 140 znakmi a krátkou pozornosťou musíte mať v stave Twitteru čo najviac textu, ak chcete svoju správu efektívne šíriť. Čítaj viac a uistite sa, že vo svojich tokenov adries URL používa dostatok znakov!

Používate skracovanie adries URL?

Zdá sa, že služby skracovania narastajú v popularite a pravidelne sa objavujú nové služby. Twitter je 140-znakový limit a obtiažnosť práca s dlhými reťazcami textu na mobilných zariadeniach URL Shortener je švajčiarsky nôž zdieľania a ukladania odkazov na AndroidTo, čo odlišuje URL Shortener, je, aké ľahké je ukladať odkazy, kopírovať ich do schránky alebo ich zdieľať priamo z ponuky. Čítaj viac pravdepodobne prispeli k ich užitočnosti a schopnosť poslať odkaz v oveľa priaznivejšej forme pre divákov je určite príťažlivá. Nehovorí sa o tom, že by boli veľmi pohodlné, ale toto pohodlie nemusí stáť za riziko.

Používate službu na skrátenie adresy URL? Ktorý z nich používate? Používate ho na citlivé dokumenty alebo iba na verejne prístupné odkazy? Máte teraz obavy o bezpečnosť vašich odkazov? Podeľte sa o svoje myšlienky nižšie!

Obrázkové kredity: Georgiev a Shmatikov cez arXiv.

Dann je konzultant pre obsahovú stratégiu a marketing, ktorý pomáha spoločnostiam vytvárať dopyt a vedie. Blogy venoval aj stratégii a marketingu obsahu na stránke dannalbright.com.