Harry James
0 
2448
678
URL-forkortere Prøv 10 forskellige URL-forkortere, der giver dig Addon-fordele. Prøv 10 forskellige URL-forkortere, der giver dig Addon-fordele. Hvor anderledes kan du forkorte en ensartet ressource-locator? Jo, forkortelsessystemet er stort set et kørt arbejde, men tricket ser ud til at være i de ekstramateriale, der følger med afkortningstjenesten ... som bit.ly, goo.gl, tinyurl og ow.ly er fantastisk til at gøre det lettere at dele links; du behøver ikke at indsætte en rigtig lang, grim URL i et chatvindue eller en e-mail for at hjælpe nogen med at finde vej til den side, du vil have dem til at komme til. Men en nylig undersøgelse viste, at denne bekvemmelighed kan medføre en betydelig omkostning for din sikkerhed.
Studiet
I løbet af 18 måneder kiggede to forskere på Cornell Tech på de forkortede URL'er oprettet af to forskellige tjenester: Microsoft OneDrive og Google Maps. Begge tjenester opretter forkortede links til deling af websider (OneDrive bruger dem til at dele adgang til dokumenter, og Google Maps bruger dem til at dele retninger eller placeringer).
På grund af det lille antal tegn, der blev brugt i disse forkortede links, var forskerne i stand til at bruge et brute force-angreb til at finde forkortede URL'er, der var knyttet til faktiske dokumenter. Forskerne analyserede 100.000.000 bit.ly webadresser med tilfældigt valgte tegn med seks tegn (som “1maQ2JZ”). 42% af alle tokens løst til faktiske fulde webadresser, og næsten 19.500 af dem førte til OneDrive-dokumenter.
Forskerne fandt også næsten 24.000.000 live links, når de scannede de fem tegn, der tidligere var brugt af goo.gl/maps, hvoraf ca. 10% var til kørselsvejledning.
At få adgang til OneDrive-dokumenter og Google Maps-retninger er dårlig nok, men forskerne opdagede, at de kunne gøre endnu mere med de oplysninger, de gendannede fra disse links. For eksempel ved at analysere standardstrukturen i OneDrive-URL'er, var de i stand til at navigere og få adgang til et antal OneDrive-konti, hvoraf mange de fandt faktisk kunne skrives, hvilket betyder, at de kunne ændre filer eller uploade malware, der automatisk blev downloadet til ejerens computer.
Og med Google Maps opdagede forskerne en masse information, som folk sandsynligvis ønsker at holde privat. Ved at se på boligadresser kunne de komme med uddannede gæt, om hvilke husstande der omfattede en person, der gik til specialklinikker for medicinsk behandling, afhængighedsbehandlingscentre, striberklubber og abortudbydere. Det er vist, at placeringsoplysninger er meget værdifulde. Hvad kan statslige sikkerhedsagenturer fortælle fra telefonens metadata? Hvad kan statslige sikkerhedsagenturer fortælle fra telefonens metadata? ved at få identificerende oplysninger for enkeltpersoner, og at information kombineret med en slags forkortet rejsehistorie kunne være meget nyttig for identitetstyver.
Hvis du vil se den fulde offentliggjorte artikel, kan du tjekke den ud på arXiv, og en af forskerne offentliggjorde også et blogindlæg med et nyttigt resumé.
Ændringer foretaget
Cornell Tech-forskerne delte deres resultater med Microsoft og Google, og begge virksomheder har taget skridt til at mindske sandsynligheden for, at deres brugere kan kompromitteres af forkortede URL-adresser.
URL-forkortelse blev fjernet fra OneDrive-grænsefladen, og metoden, der blev brugt til at få mere information om brugerens konto, fungerer ikke længere (trods Microsofts benægtelse af, at deres ændringer havde noget at gøre med denne rapport, eller at undersøgelsen endda afslørede en sikkerhedssårbarhed). Gamle forkortede links er dog stadig sårbare.
Google Maps bruger nu 11- og 12-karakter-symboler i stedet for de fem-karakterer, der blev tilbudt før, hvilket gør det betydeligt sværere at afsløre dem med et brute force-angreb. Google gjorde det også vanskeligere for et stort antal webadresser at blive scannet på én gang.
Vær forsigtig
Selvom disse to tjenester har taget skridt til at afhjælpe truslen, vil muligheden for flere sårbarheder i linkforkortelsesprocessen sandsynligvis blive fundet et eller andet tidspunkt i fremtiden (flere og mere magtfulde computere Quantum Computers: The End of Cryptography? Quantum Computers: The Slutningen af kryptografi? Kvanteberegning som en idé har eksisteret i et stykke tid - den teoretiske mulighed blev oprindeligt introduceret i 1982. I løbet af de sidste par år er feltet blevet tættere på det praktiske. Det vil bestemt hjælpe). Da jeg for nylig kontrollerede for at se, om populære forkortelsestjenester brugte et lille antal tegn i deres tokens, havde både ow.ly og tinyurl seks tegn med to tegn, og bit.ly brugte syv.
Selvom begge er bedre end Googles foregående fem, er det stadig bekymrende, at folk kunne sende adgang til vigtige filer eller personlige oplysninger på denne måde. Cornell Tech-forskerne demonstrerede, at en simpel brute-force-scanning af disse URL'er kan afsløre en overraskende mængde information om specifikke brugere, herunder et par af de vigtigste oplysninger til identitetstyveri 10 stykker oplysninger, der bruges til at stjæle din identitet 10 stykker information, der bruges til at stjæle din identitet Ifølge US Bureau of Justice koster identitetstyveri ofre over 24 milliarder dollars i 2012, mere end husholdningsindbrud, motor- og ejendomstyveri tilsammen. Disse 10 oplysninger er, hvad tyve ser… .
Så hvad skal du gøre? For at være helt sikker skal du bare ikke bruge URL-forkortere til noget, der kan være værdifuldt for en hacker, identitetstyv eller anden forkert. Forkortere er virkelig nyttige, men for det meste fungerer en lang URL helt fint. Det er stort, grimt og tager meget plads i et e-mail- eller chatvindue, men det er også meget sikrere.
Vær også opmærksom på, at mange andre tjenester tilbyder URL-forkortelse, og du vil måske også være forsigtig med dem. Hvordan hver af disse tjenester håndterer tilladelser med forkortede webadresser, er sandsynligvis forskellige, men hvis du ved en fejltagelse gav væk adgang til et Flickr, Google Fotos, Google Drive, Twitter, Facebook eller andet indlæg, er det svært at vide, hvad der vil ske.
Hvis du får valget om at forkorte en URL med et token, der er længere end seks eller syv tegn, skal du tage den. Forskerne sagde i deres papir, at de 11- og 12-tegners symboler, der bruges af Google Maps, ikke er brute-tvang (i det mindste med den nuværende teknologi og en rimelig indsats), så at sigte mod mindst 10 er sandsynligvis en god idé.
Eller bare lav din egen URL-forkorter Fordelene ved at opsætte din egen URL-forkorter, og hvordan man gør det Fordelene ved at opsætte din egen URL-forkorter, og hvordan man gør det I en verden på 140 tegn, og korte opmærksomhedsspænd, skal du få så meget tekst som muligt i din Twitter-status, hvis du effektivt vil få din besked på tværs. og sørg for, at det bruger nok tegn i sine URL-symboler!
Bruger du URL-forkortere?
Afkortningstjenester ser ud til at stige i popularitet, med nye tjenester, der jævnligt dukker op. Twitter's 140-karakterbegrænsning og vanskeligheden ved at arbejde med lange tekststrenge på mobile enheder URL-forkorter er den schweiziske kniv til deling og opsparing af link på Android URL-forkortelse Er den schweiziske kniv til deling af link og opsparing på Android Hvad adskiller URL-forkortelse er hvor let det gør det for dig at gemme links, kopiere dem til et udklipsholder eller dele dem direkte fra en menu. har sandsynligvis bidraget til deres nyttighed, og evnen til at sende et link i et langt mere seervenligt format er bestemt tiltalende. Der er ikke noget, der argumenterer for, at de er meget praktiske, men bekvemmeligheden er måske ikke værd at risikoen.
Bruger du en URL-afkortningstjeneste? Hvilken bruger du? Bruger du det til følsomme dokumenter, eller bare til offentligt tilgængelige links? Er du nu bekymret for sikkerheden i dine links? Del dine tanker nedenfor!
Billedkreditter: Georgiev og Shmatikov via arXiv.