Oglas

URL-ji za krajšanje URL-jev Preizkusite 10 različnih krajšalnikov URL, ki vam prinašajo dodatne ugodnostiKako drugače lahko skrajšate enoten lokator virov? No, sistem krajšanja je precej delo, ki ga je treba zagnati, a zdi se, da je trik v dodatkih, ki so priloženi službi za krajšanje ... Preberi več kot bit.ly, goo.gl, tinyurl in ow.ly so odlični za lažjo skupno rabo povezav; ni vam treba prilepiti res dolgega grdega URL-ja v okno za klepet ali e-poštno sporočilo, da bi nekdo pomagal najti pot do strani, na katero želite, da pride. Toda nedavna študija je pokazala, da lahko ta udobje prinese znatne stroške za vašo varnost.

Študij

V 18 mesecih sta si dva raziskovalca podjetja Cornell Tech ogledala skrajšane naslove URL, ki sta jih ustvarili dve različni službi: Microsoft OneDrive in Google Maps. Obe storitvi ustvarjata skrajšane povezave za skupno rabo spletnih strani (OneDrive jih uporablja za skupno rabo dostopa do dokumentov, Google Maps pa jih uporablja za izmenjavo navodil ali lokacij).

Zaradi majhnega števila znakov, ki so bili uporabljeni v teh skrajšanih povezavah, so raziskovalci lahko uporabili napad s silovitim napadom, da bi našli skrajšane URL-je, ki so bili povezani z dejanskimi dokumenti. Raziskovalci so analizirali 100.000.000 bit.ly URL-jev s pomočjo naključno izbranih žetonov s šestimi znaki (kot je "1maQ2JZ"). 42% vseh žetonov je rešilo dejanske polne naslove, skoraj 19.500 pa je vodilo do dokumentov OneDrive.

odšel v šest

Raziskovalci so med pregledovanjem pet-znakovnih žetonov, ki so jih prej uporabljali goo.gl/maps, našli skoraj 24.000.000 povezav v živo, od tega približno 10% za navodila za vožnjo.

Dostop do dokumentov OneDrive in navodil za Google Maps je dovolj slab, toda raziskovalci so odkrili, da lahko s podatki, ki so jih prejeli iz teh povezav, naredijo še več. Na primer, ko so analizirali standardno strukturo URL-jev OneDrive, so lahko krmarili in dobili dostop do številnih računov OneDrive, številnih za katero so ugotovili, da je dejansko zapisljiv, kar pomeni, da lahko spreminjajo datoteke ali nalagajo zlonamerno programsko opremo, ki se samodejno prenese v lastnikovo računalnik.

onedrive-skrajšane povezave

In z Google Maps so raziskovalci odkrili veliko informacij, ki bi jih ljudje verjetno želeli ohraniti zasebne. Če bi si ogledali stanovanjske naslove, bi lahko poučili o tem, katera gospodinjstva vključujejo osebo, ki bo odšel v specialistične ambulante za zdravljenje, centre za zdravljenje odvisnosti, striptizete in izvajalce splava. To se je pokazalo informacije o lokaciji so zelo dragocene Kaj lahko vladne varnostne agencije sporočijo z metapodatki vašega telefona? Preberi več pri pridobivanju identifikacijskih podatkov za posameznike in bi lahko bili ti podatki v kombinaciji z nekakšno skrajšano zgodovino potovanj zelo koristni za tatove identitete.

karte-krajšava-austin

Če želite videti celoten objavljeni članek, lahko preverite na arXiv, eden od raziskovalcev pa je objavil tudi blog objava s koristnim povzetkom.

Izvedene spremembe

Raziskovalci družbe Cornell Tech so svoje rezultate delili z Microsoftom in Googlom, zato sta obe podjetji sprejeli ukrepe za zmanjšanje verjetnosti, da bi lahko njihovi uporabniki ogroženi s skrajšanimi URL-ji.

Skrajšanje URL-jev je bilo odstranjeno iz vmesnika OneDrive in metoda, ki se uporablja za pridobivanje več informacij o uporabnikovem računu, ni več deluje (kljub Microsoftovemu zanikanju, da bi njihove spremembe imele kakršno koli povezavo s tem poročilom ali da je raziskava celo razkrila varnost ranljivost). Stare skrajšane povezave pa ostajajo ranljive.

zemljevidi skrajšani-povezava

Google Maps zdaj uporablja 11-in 12-znakovne žetone namesto petih znakov, ki so bili ponujeni prej, zato jih je bistveno težje razkriti z napadom grobe sile. Google je otežil tudi skeniranje velikega števila URL-jev hkrati.

Bodite previdni

Čeprav sta ti dve službi naredili ukrepe za ublažitev grožnje, bo možnost, da bi se v prihodnje kdaj pojavile večje ranljivosti v procesu krajšanja povezav (vedno močnejši računalniki Kvantni računalniki: konec kriptografije?Kvantno računalništvo kot ideja obstaja že nekaj časa - teoretična možnost je bila prvotno uvedena leta 1982. V zadnjih nekaj letih se je področje približalo praktičnosti. Preberi več bo zagotovo pomagalo). Ko sem pred kratkim preveril, ali priljubljene storitve za skrajšanje uporabljajo majhne številke znakov v svojih žetonih, sta last.ly in tinyurl imela šest-znake, bit.ly pa sedem.

bitly-muo-povezava

Čeprav sta oba boljša od prejšnjih pet Googlovih, nas še vedno skrbi, da bi ljudje na ta način lahko pošiljali dostop do pomembnih datotek ali osebnih podatkov. Raziskovalci družbe Cornell Tech so pokazali, da preprosto skeniranje teh URL-jev lahko razkrije presenetljivo količino informacij o določenih uporabnikih, vključno z nekaj najpomembnejši podatki za krajo identitete 10 kosov informacij, ki se uporabljajo za krajo vaše identiteteKraja identitete je lahko draga. Tu je 10 informacij, ki jih morate zaščititi, da vaša identiteta ne bo ukradena. Preberi več .

Kaj naj torej storite? Če želite biti popolnoma varni, samo ne uporabljajte omejevalnikov URL-jev za nič, kar bi lahko bilo dragoceno za hekerja, tatove identitete ali druge zmotne osebe. Skrajšave so res uporabne, a večino časa bo dolg URL deloval čisto v redu. Je velik, grd in zavzame veliko prostora v oknu za e-pošto ali klepet, hkrati pa je tudi veliko varnejši.

maps-url-full-email

Upoštevajte tudi, da številne druge storitve ponujajo krajšanje URL-jev, zato boste morda želeli biti previdni tudi pri teh. Kako se vsaka od teh storitev ukvarja z dovoljenji s skrajšanimi URL-ji, se verjetno razlikuje, če pa ste slučajno dali prosti dostop do storitve Flickr, Google Photos, Google Drive, Twitter, Facebook ali druge objave, je težko vedeti, kaj bo zgoditi.

Če imate možnost krajšati URL s žetonom, ki je daljši od šestih ali sedmih znakov, ga vzemite. Raziskovalci so v svojem prispevku povedali, da žetoni z 11 in 12 znaki, ki jih uporabljajo Google Zemljevidi, ni mogoče nadlegovati (vsaj s sedanjo tehnologijo in z veliko truda), zato je ciljanje na vsaj 10 verjetno dobro ideja.

Ali pač naredite svoj krajši URL Prednosti nastavitve lastnega krajšega URL-ja in kako to storitiV svetu s 140 znaki in kratkimi razmiki pozornosti morate v svojem Twitter statusu pridobiti čim več besedila, če boste učinkovito prenesli sporočilo. Preberi več in poskrbite, da bo v svojih žetonih URL uporabil dovolj znakov!

Ali uporabljate krajšave URL-jev?

Zdi se, da se krajše storitve povečujejo, zato se nove storitve redno pojavljajo. Omejitev 140 znakov za Twitter in težavnost delo z dolgimi nizi besedila na mobilnih napravah URL krajša je švicarski nož skupne rabe povezav in shranjevanja v sistemu AndroidURL Shortener loči od tega, kako enostavno je, da shranite povezave, jih kopirate v odložišče ali daste v skupno rabo neposredno iz menija. Preberi več so verjetno prispevali k njihovi uporabnosti, možnost pošiljanja povezav v veliko bolj prijaznemu formatu pa je zagotovo privlačna. Ne zagovarjamo se, da so zelo priročni, toda udobje morda ni vredno tvegati.

Ali uporabljate storitev za krajšanje URL-jev? Katerega uporabljate? Ali ga uporabljate za občutljive dokumente ali samo za javno dostopne povezave? Vas zdaj skrbi varnost vaših povezav? Delite svoje misli spodaj!

Slikovni sliki: Georgiev in Šmatikov prek arXiv.

Dann je vsebinska strategija in marketinški svetovalec, ki podjetjem pomaga ustvarjati povpraševanje in voditi. Na spletni strani dannalbright.com piše tudi bloge o strategiji in vsebinskem marketingu.