Ar sutrumpintos nuorodos kenkia jūsų saugumui?

Skelbimas

URL sutrumpintuvai Išbandykite 10 skirtingų URL sutrumpintuvų, kurie suteikia papildymo pranašumusTik kaip skirtingai galite sutrumpinti vienodą išteklių ieškiklį? Na, sutrumpinimo sistema yra beveik visas įprastas darbas, tačiau atrodo, kad apgauti yra prieduose, kurie pateikiami kartu su sutrumpinimo paslauga ... Skaityti daugiau „bit.ly“, „goo.gl“, „tinyurl“ ir „ow.ly“ yra puikūs, kad būtų lengviau dalintis nuorodomis; jums nereikia įklijuoti tikrai ilgo negražaus URL į pokalbių langą ar el. laišką, kad kažkas galėtų rasti kelią į puslapį, į kurį norite patekti. Tačiau neseniai atliktas tyrimas parodė, kad dėl šio patogumo jūsų saugumui gali reikėti didelių išlaidų.

Tyrimas

Per 18 mėnesių du „Cornell Tech“ tyrėjai pažvelgė į sutrumpintus URL, kuriuos sukūrė dvi skirtingos tarnybos: „Microsoft OneDrive“ ir „Google Maps“. Abi paslaugos sukuria sutrumpintas nuorodas tinklalapiams dalytis („OneDrive“ jas naudoja norėdama dalytis prieiga prie dokumentų, o „Google Maps“ - bendrinti nuorodas ar vietas).

Dėl nedaug simbolių, naudojamų šiose sutrumpintose nuorodose, tyrėjai galėjo panaudoti žiaurios jėgos išpuolį, norėdami rasti sutrumpintus URL, susiejančius su tikrais dokumentais. Tyrėjai išanalizavo 100 000 000 bit.ly URL su atsitiktine tvarka pasirinktais šešių simbolių priedais (pvz., „1maQ2JZ“). 42% visų prieigos raktų išsisprendė prie tikrųjų URL, o beveik 19 500 iš jų - prie „OneDrive“ dokumentų.

Tyrinėtojai taip pat aptiko beveik 24 000 000 tiesioginių nuorodų, nuskaitydami penkių ženklų žetonus, anksčiau naudotus goo.gl/maps, iš kurių apie 10% buvo skirti važiavimo kryptims.

Gauti prieigą prie „OneDrive“ dokumentų ir „Google Maps“ nuorodų yra pakankamai blogai, tačiau tyrėjai atrado, kad jie galėtų dar daugiau padaryti naudodamiesi informacija, kurią jie atgavo iš tų nuorodų. Pavyzdžiui, išanalizavę standartinę „OneDrive“ URL struktūrą, jie galėjo naršyti ir gauti prieigą prie daugybės „OneDrive“ paskyrų, daugelio iš kurie, jų manymu, iš tikrųjų buvo rašomi, tai reiškia, kad jie galėjo pakeisti failus arba įkelti kenkėjiškas programas, kurios bus automatiškai atsiųstos savininko kompiuteris.

„Google Maps“ tyrėjai atrado daug informacijos, kurią žmonės tikriausiai norėtų laikyti privačia. Žvelgdami į gyvenamosios vietos adresus, jie galėjo pagrįstai spėlioti, kurie namų ūkiai apima asmenį, kuris vyko į specializuotas gydymo įstaigas, priklausomybių gydymo centrus, striptizo klubus, abortų teikėjus. Tai buvo parodyta Vietos informacija yra labai vertinga Ką vyriausybės saugumo agentūros gali pasakyti iš jūsų telefono metaduomenų? Skaityti daugiau įgyjant asmens tapatybės informaciją ir ta informacija kartu su tam tikra sutrumpinta kelionių istorija galėtų būti labai naudinga tapatybės vagims.

Jei norite pamatyti visą paskelbtą straipsnį, galite patikrinkite arXiv, o vienas iš tyrėjų taip pat paskelbė a dienoraščio įrašas su naudinga santrauka.

Atlikti pakeitimai

„Cornell Tech“ tyrėjai pasidalino savo rezultatais su „Microsoft“ ir „Google“, o abi bendrovės ėmėsi priemonių sumažinti tikimybę, kad sutrumpinti URL jų vartotojams gali pakenkti.

URL sutrumpinimas buvo pašalintas iš „OneDrive“ sąsajos, o metodas, naudojamas norint gauti daugiau informacijos apie vartotojo sąskaitą, nebebus naudojamas darbai (nepaisant „Microsoft“ neigimo, kad jų pakeitimai turėjo nieko bendra su šia ataskaita ar kad tyrimas atskleidė net apsaugą) pažeidžiamumas). Seni sutrumpinti ryšiai vis tiek lieka pažeidžiami.

„Google Maps“ dabar naudoja 11 ir 12 simbolių žetonus, o ne anksčiau siūlomus penkių ženklų ženklus, todėl žymiai sunkiau juos atskleisti vykdant žiaurią jėgą. „Google“ taip pat apsunkino daugybės URL nuskaitymą vienu metu.

Būkite atsargūs

Nors šios dvi tarnybos ėmėsi priemonių šiai grėsmei sušvelninti, ateityje galbūt bus daugiau pažeidžiamų nuorodų sutrumpinimo proceso galimybių (daugiau ir galingesnių kompiuterių Kvantiniai kompiuteriai: Kriptografijos pabaiga?Kvantinis skaičiavimas kaip idėja egzistavo kurį laiką - teorinė galimybė iš pradžių buvo pristatyta 1982 m. Per pastaruosius kelerius metus ši sritis artėjo prie praktiškumo. Skaityti daugiau tikrai padės). Kai neseniai patikrinau, ar populiariose trumpinimo tarnybose jų žetonuose buvo naudojamas nedaug simbolių, tiek „ow.ly“, tiek „tinyurl“ turėjo šešių ženklų žetonus, o „bit.ly“ - septynis.

Nors abu yra geresni nei ankstesni penki „Google“, vis tiek nerimaujama, kad žmonės tokiu būdu gali siųsti prieigą prie svarbių failų ar asmeninės informacijos. „Cornell Tech“ tyrėjai parodė, kad paprastas žiaurus šių URL adresų nuskaitymas gali atskleisti stebėtinai daug informacijos apie konkrečius vartotojus, įskaitant keletą iš svarbiausia tapatybės vagystės informacija 10 dalių informacijos, kuri naudojama jūsų tapatybei pavogtiAsmens tapatybės vagystė gali brangiai kainuoti. Čia yra 10 informacijos, kurią reikia apsaugoti, kad jūsų tapatybė nebūtų pavogta. Skaityti daugiau .

Taigi, ką turėtum daryti? Jei norite būti visiškai saugūs, tiesiog nenaudokite URL sutrumpintuvų viskam, kas gali būti naudingas įsilaužėliui, tapatybės vagisi ar kitam netinkamam pavidalui. Sutrumpinimai yra tikrai naudingi, tačiau dažniausiai ilgas URL veiks puikiai. Jis yra didelis, negražus ir užima daug vietos el. Pašto ar pokalbių lange, tačiau yra ir daug saugesnis.

Be to, atminkite, kad daugelis kitų paslaugų siūlo URL sutrumpinimą, todėl galbūt norėsite būti atsargūs ir su tais. Tikėtina, kad skirtis, kaip kiekviena iš šių paslaugų tvarko leidimus su sutrumpintais URL, tačiau jei netyčia pateikėte prieigą prie „Flickr“, „Google“ nuotraukų, „Google“ disko, „Twitter“, „Facebook“ ar kitų įrašų, sunku žinoti, kas bus atsitikti.

Jei jums bus suteikta galimybė sutrumpinti URL, kurio simbolis yra ilgesnis nei šeši ar septyni simboliai, turėtumėte jį pasirinkti. Tyrėjai savo dokumente teigė, kad „Google Maps“ naudojami 11 ir 12 ženklų žetonai nėra prievartiniai (bent jau naudojant šiuolaikines technologijas ir dedant pakankamai pastangų), taigi, siekti mažiausiai 10 yra tikriausiai gerai idėja.

Arba tiesiog sukurkite savo URL sutrumpinimą Savo URL sutrumpinimo nustatymo pranašumai ir kaip tai padarytiPasaulyje, kurį sudaro 140 simbolių ir trumpas dėmesys, „Twitter“ būsenoje turite gauti kuo daugiau teksto, jei ketinate efektyviai perduoti savo žinią. Skaityti daugiau ir įsitikinkite, kad URL žymekliuose naudojama pakankamai simbolių!

Ar naudojate URL trumpiklius?

Panašu, kad trumpėjančios paslaugos populiarėja, todėl reguliariai pasirodo naujos paslaugos. „Twitter“ yra 140 simbolių apribojimas ir sunku darbas su ilgomis teksto eilutėmis mobiliuosiuose įrenginiuose URL Shortener yra šveicariškas peilis, kuriuo galima dalintis ir išsaugoti „Android“URL Shortener išskiria tai, kaip lengva jums išsaugoti nuorodas, nukopijuoti jas į mainų sritį arba bendrinti jas tiesiogiai iš meniu. Skaityti daugiau greičiausiai prisidėjo prie jų naudingumo, o galimybė atsiųsti nuorodą daug palankesniam žiūrovų formatui tikrai patraukli. Neginčijama, kad jie yra labai patogūs, tačiau dėl patogumo neverta rizikuoti.

Ar naudojatės URL sutrumpinimo paslauga? Kurį jūs naudojate? Ar naudojate tai slaptiems dokumentams, ar tiesiog viešai prieinamoms nuorodoms? Ar dabar nerimaujate dėl savo nuorodų saugumo? Pasidalykite savo mintimis žemiau!

Vaizdo kreditai: Georgiev ir Shmatikov per arXiv.