Annons

URL-förkortare Prova 10 olika URL-förkortare som ger dig fördelar med AddonHur annorlunda kan du förkorta en enhetlig resurssökare? Tja, förkortningssystemet är ganska mycket ett körkraftjobb, men tricket verkar vara i de extra som följer med förkortningstjänsten ... Läs mer som bit.ly, goo.gl, tinyurl och ow.ly är fantastiska för att göra det lättare att dela länkar; du behöver inte klistra in en riktigt lång, fula URL i ett chattfönster eller ett e-postmeddelande för att hjälpa någon hitta vägen till den sida du vill att de ska komma till. Men en ny studie visade att denna bekvämlighet kan medföra en betydande kostnad för din säkerhet.

Studien

Under 18 månader tittade två forskare vid Cornell Tech på de förkortade webbadresserna som skapades av två olika tjänster: Microsoft OneDrive och Google Maps. Båda tjänsterna skapar förkortade länkar för delning av webbsidor (OneDrive använder dem för att dela åtkomst till dokument, och Google Maps använder dem för att dela vägbeskrivningar eller platser).

instagram viewer

På grund av det lilla antalet tecken som användes i dessa förkortade länkar kunde forskarna använda en brute force-attack för att hitta förkortade URL: er som länkades till faktiska dokument. Forskarna analyserade 100 000 000 bit.ly webbadresser med slumpmässigt valda 6-karaktersymboler (som ”1maQ2JZ”). 42% av alla token löstes till faktiska fullständiga webbadresser, och nästan 19 500 av dessa ledde till OneDrive-dokument.

borta-i-sex

Forskarna fann också nästan 24 000 000 livelänkar när de skannade de fem karaktärsymboler som tidigare använts av goo.gl/maps, varav cirka 10% var för vägbeskrivning.

Att få tillgång till OneDrive-dokument och Google Maps-vägbeskrivningar är tillräckligt dåligt, men forskarna upptäckte att de kunde göra ännu mer med den information de återhämtade sig från dessa länkar. Genom att analysera standardstrukturen för OneDrive URL: er kunde de till exempel navigera och få tillgång till ett antal OneDrive-konton, många av som de tyckte var faktiskt skrivbara, vilket innebär att de kan ändra filer eller ladda upp skadlig programvara som automatiskt laddas ner till ägarens dator.

onedrive-förkortade-länkar

Och med Google Maps upptäckte forskarna mycket information som folk förmodligen skulle vilja hålla privat. Genom att titta på bostadsadresser kunde de göra utbildade gissningar om vilka hushåll som inkluderade en person som gick till specialistkliniker för medicinsk behandling, beroendecenter, stripklubbar och abortleverantörer. Det har visats att platsinformation är mycket värdefull Vad kan statliga säkerhetsorgan säga från telefonens metadata? Läs mer att få identifierande information för individer och att information i kombination med en slags förkortad resehistorik skulle kunna vara mycket användbar för identitetstjuvar.

kartor-Shortener-austin

Om du vill se hela publicerade artikeln kan du göra det kolla in det på arXiv, och en av forskarna publicerade också en blogginlägg med en användbar sammanfattning.

Förändringar gjorda

Cornell Tech-forskarna delade sina resultat med Microsoft och Google, och båda företagen har vidtagit åtgärder för att minska sannolikheten för att deras användare skulle kunna äventyras av förkortade URL-adresser.

URL-förkortning togs bort från OneDrive-gränssnittet och metoden som användes för att få mer information om användarens konto inte längre fungerar (trots Microsofts förnekande att deras förändringar hade något att göra med den här rapporten eller att studien till och med avslöjade en säkerhet sårbarhet). Gamla förkortade länkar är dock fortfarande sårbara.

kartor-förkortade-länk

Google Maps använder nu 11- och 12-karaktersymboler istället för de fem karaktärerna som erbjudits tidigare, vilket gör det betydligt svårare att avslöja dem med en våldsam attack. Google gjorde det också svårare för ett stort antal webbadresser att skannas på en gång.

Var försiktig

Även om dessa två tjänster har vidtagit åtgärder för att mildra hotet, kommer sannolikheten för fler sårbarheter i länkförkortningsprocessen troligen att finnas någon gång i framtiden (fler och kraftfullare datorer Kvantdatorer: slutet på kryptografi?Kvantberäkning som idé har funnits ett tag - den teoretiska möjligheten introducerades ursprungligen 1982. Under de senaste åren har fältet blivit närmare praktisk. Läs mer kommer säkert att hjälpa). När jag nyligen kontrollerade om populära förkortningstjänster använde ett litet antal tecken i sina tokens, hade både ow.ly och tinyurl sexteckenstecken och bit.ly använde sju.

bitly-Muo-link

Även om båda är bättre än Googles tidigare fem, är det fortfarande oroande att människor kan skicka åtkomst till viktiga filer eller personlig information på detta sätt. Cornell Tech-forskarna visade att en enkel genomsökning av dessa URL-adresser kan avslöja en överraskande mängd information om specifika användare, inklusive några av de viktigaste informationen för identitetsstöld 10 bitar information som används för att stjäla din identitetIdentitetsstöld kan vara kostsamt. Här är de tio informationen du behöver för att skydda så att din identitet inte blir stulen. Läs mer .

Så vad ska du göra? För att vara helt säker, använd bara inte URL-förkortare för allt som kan vara värdefullt för en hacker, identitetstjuv eller annat felaktigt. Förkortningar är verkligen användbara, men för det mesta kommer en lång URL att fungera bra. Det är stort, fult och tar mycket utrymme i ett e-post- eller chattfönster, men det är också mycket säkrare.

kartor-url-full e-post

Tänk också på att många andra tjänster erbjuder förkortning av webbadresser, och du kanske vill vara försiktig med dessa också. Hur var och en av dessa tjänster hanterar behörigheter med förkortade URL: er kommer sannolikt att skilja sig, men om du av misstag gav bortåtkomst till en Flickr, Google Photos, Google Drive, Twitter, Facebook eller annat inlägg, det är svårt att veta vad som kommer hända.

Om du har valet att förkorta en URL med ett symbol som är längre än sex eller sju tecken, bör du ta den. Forskarna sade i sitt papper att de 11- och 12-karaktersmärken som används av Google Maps inte är våldsamma (åtminstone med nuvarande teknik och en rimlig ansträngning), så det är förmodligen ett bra mål att sträva efter minst 10 aning.

Eller bara skapa din egen URL-förkortare Fördelarna med att ställa in din egen URL-förkortare och hur du gör detI en värld av 140 tecken, och korta uppmärksamhetsspannningar, måste du få så mycket text som möjligt i din Twitter-status, om du effektivt kommer att få ditt meddelande. Läs mer och se till att den använder tillräckligt med tecken i sina URL-symboler!

Använder du URL-förkortare?

Förkortningstjänster verkar öka i popularitet, med nya tjänster som dyker upp regelbundet. Twitter: s 140-karaktersgräns och svårigheten med arbetar med långa textsträngar på mobila enheter URL-kortare är den schweiziska kniven för länkdelning och sparing på AndroidDet som skiljer URL-förkortaren är hur enkelt det gör det för dig att spara länkar, kopiera dem till en urklipp eller dela dem direkt från en meny. Läs mer har troligtvis bidragit till deras användbarhet, och förmågan att skicka en länk i ett mycket mer tittarvänligt format är verkligen tilltalande. Det finns inget som argumenterar för att de är väldigt praktiska, men bekvämligheten kanske inte är värt risken.

Använder du en URL-förkortningstjänst? Vilken använder du? Använder du det för känsliga dokument, eller bara för offentligt tillgängliga länkar? Är du nu orolig för säkerheten i dina länkar? Dela dina tankar nedan!

Bildkrediter: Georgiev och Shmatikov via arXiv.

Dann är en innehållsstrategi och marknadskonsult som hjälper företag att skapa efterfrågan och leder. Han bloggar också om strategi och innehållsmarknadsföring på dannalbright.com.