Vai saīsinātās saites apdraud jūsu drošību?

Reklāma

URL saīsinātāji Izmēģiniet 10 dažādus URL saīsinātājus, kas dod jums papildinājuma priekšrocībasCik atšķirīgi jūs varat saīsināt vienotu resursu vietrādi? Nu, saīsināšanas sistēma ir diezgan praktiski izpildīta, taču šķiet, ka triks ir ekstras, kas nāk ar saīsināšanas pakalpojumu ... Lasīt vairāk piemēram, bit.ly, goo.gl, tinyurl un ow.ly ir lieliski piemēroti, lai atvieglotu saišu kopīgošanu; jums nav jāielīmē patiešām garš, neglīts URL tērzēšanas logā vai e-pasta ziņojumā, lai palīdzētu kādam atrast ceļu uz lapu, kurā vēlaties nokļūt. Bet nesen veikts pētījums parādīja, ka šīs ērtības var radīt ievērojamas izmaksas jūsu drošībai.

Pētījums

18 mēnešu laikā divi Cornell Tech pētnieki apskatīja saīsinātos vietrāžus URL, ko izveidojuši divi dažādi pakalpojumi: Microsoft OneDrive un Google Maps. Abi pakalpojumi rada saīsinātas saites tīmekļa lapu koplietošanai (OneDrive tos izmanto, lai koplietotu piekļuvi dokumentiem, un Google Maps tos izmanto, lai dalītos ar norādījumiem vai vietām).

Šajās saīsinātajās saitēs izmantotā mazā rakstzīmju skaita dēļ pētnieki varēja izmantot brutāla spēka uzbrukumu, lai atrastu saīsinātus URL, kas saistīti ar faktiskajiem dokumentiem. Pētnieki analizēja 100 000 000 bit.ly vietrāžu URL ar nejauši izvēlētiem sešzīmju marķieriem (piemēram, “1maQ2JZ”). 42% no visiem marķieriem izšķīrās par faktiskajiem pilnajiem URL, un gandrīz 19 500 no tiem tika izveidoti OneDrive dokumentos.

Pētnieki arī atrada gandrīz 24 000 000 dzīvu saišu, skenējot piecu zīmju marķierus, ko iepriekš izmantoja goo.gl/maps, apmēram 10% no tiem bija braukšanas norādījumiem.

Piekļuve OneDrive dokumentiem un Google Maps norādījumiem ir pietiekami slikta, taču pētnieki atklāja, ka viņi varētu darīt vēl vairāk ar informāciju, ko viņi atguva no šīm saitēm. Piemēram, analizējot OneDrive URL standarta struktūru, viņi varēja pārvietoties un piekļūt vairākiem OneDrive kontiem, no kuriem daudzi kurus viņi uzskatīja par faktiski rakstāmiem, kas nozīmē, ka viņi varētu mainīt failus vai augšupielādēt ļaunprātīgu programmatūru, kas automātiski tiktu lejupielādēta īpašnieka vietnē dators.

Izmantojot Google Maps, pētnieki atklāja daudz informācijas, ko cilvēki, iespējams, vēlētos saglabāt privāti. Aplūkojot dzīvesvietas adreses, viņi varēja izteikt minējumus par to, kuras mājsaimniecības ietvēra personu, kura devās ārstēties uz specializētajām klīnikām, atkarības ārstēšanas centriem, striptīza klubiem un abortu sniedzējiem. Tas ir parādīts informācija par atrašanās vietu ir ļoti vērtīga Ko valdības drošības aģentūras var pateikt no jūsu tālruņa metadatiem? Lasīt vairāk iegūstot personu identificējošu informāciju, un šī informācija apvienojumā ar sava veida saīsinātu ceļojuma vēsturi varētu būt ļoti noderīga identitātes zagļiem.

Ja vēlaties redzēt visu publicēto rakstu, varat pārbaudiet to arXiv, un viens no pētniekiem arī publicēja a emuāra ziņa ar noderīgu kopsavilkumu.

Veiktas izmaiņas

Kornela tehnikas pētnieki dalījās ar rezultātiem ar Microsoft un Google, un abi uzņēmumi ir veikuši pasākumus, lai samazinātu iespējamību, ka saīsinātie vietrāži URL var apdraudēt viņu lietotājus.

URL saīsināšana tika noņemta no OneDrive saskarnes, un metode, kas tika izmantota, lai iegūtu vairāk informācijas par lietotāja kontu, vairs nebija pieejama darbojas (neskatoties uz to, ka Microsoft noliedz, ka to izmaiņām bija kāds sakars ar šo ziņojumu vai ka pētījums pat atklāja drošību) ievainojamība). Vecās saīsinātās saites tomēr joprojām ir neaizsargātas.

Google Maps tagad izmanto 11 un 12 zīmju marķierus, nevis iepriekš piedāvātos piecus rakstzīmes, padarot tos ievērojami grūtāk atklāt ar brutāla spēka uzbrukumu. Google arī apgrūtināja vienlaicīgu daudzu URL skenēšanu.

Esiet piesardzīgs

Kaut arī šie divi dienesti ir veikuši pasākumus, lai mazinātu draudus, iespējams, ka kādreiz nākotnē tiks atklāta lielāka ievainojamība saišu saīsināšanas procesā (arvien jaudīgāki datori Kvantu datori: kriptogrāfijas beigas?Kvantu skaitļošana kā ideja pastāv jau kādu laiku - teorētiskā iespēja sākotnēji tika ieviesta 1982. gadā. Dažos pēdējos gados šī joma ir tuvinājusies praktiskumam. Lasīt vairāk noteikti palīdzēs). Kad es nesen pārbaudīju, vai populārie saīsināšanas pakalpojumi marķieros izmanto nelielu rakstzīmju skaitu, gan ow.ly, gan tinyurl bija sešu zīmju marķieri, un bit.ly izmantoja septiņus.

Lai arī abi ir labāki nekā iepriekšējie pieci Google, joprojām uztraucas, ka cilvēki šādā veidā varētu sūtīt piekļuvi svarīgiem failiem vai personiskai informācijai. Kornela tehnikas pētnieki parādīja, ka vienkārša šo vietrāžu URL skenēšana ar brutālu spēku var atklāt pārsteidzošu informācijas daudzumu par konkrētiem lietotājiem, ieskaitot dažus no vissvarīgākā informācija identitātes zādzību gadījumos 10 informācijas vienības, kas tiek izmantotas, lai nozagtu jūsu identitātiIdentitātes zādzība var būt dārga. Šeit ir 10 informācija, kas jums jāaizsargā, lai jūsu identitāte netiktu nozagta. Lasīt vairāk .

Tātad, kas jums jādara? Lai tas būtu pilnīgi drošs, nelietojiet URL saīsinātājus visam, kas varētu būt vērtīgs hakerim, identitātes zaglim vai citam nepareizi veidotājam. Saīsinājumi ir patiešām noderīgi, taču parasti garš URL darbosies lieliski. Tas ir liels, neglīts un aizņem daudz vietas e-pasta vai tērzēšanas logā, taču ir arī daudz drošāks.

Turklāt ņemiet vērā, ka daudzi citi pakalpojumi piedāvā URL saīsināšanu, un jūs, iespējams, vēlēsities būt uzmanīgs arī ar tiem. Visticamāk, atšķirsies tas, kā katrs no šiem pakalpojumiem apstrādā atļaujas ar saīsinātiem vietrāžiem URL, taču, ja jūs to nejauši esat devis ja nav piekļuves Flickr, Google fotoattēliem, Google diskam, Twitter, Facebook vai citai ziņai, ir grūti zināt, kas notikt.

Ja jums tiek dota izvēle saīsināt URL ar pilnvaru, kas ir garāks par sešām vai septiņām rakstzīmēm, jums tas jālieto. Pētnieki savā dokumentā teica, ka Google Maps izmantotie 11 un 12 zīmju marķieri nav brutāli piespiedu kārtā (vismaz ar pašreizējām tehnoloģijām un saprātīgu piepūli), tāpēc mērķis, iespējams, ir vismaz 10, iespējams, ir labs ideja.

Vai vienkārši izveidojiet pats savu URL saīsinātāju Pašas sava URL saīsinātāja iestatīšanas priekšrocības un kā to izdarītPasaulē, kurā ir 140 rakstzīmes un īsas uzmanības koncentrācijas, jums ir jāiekļauj pēc iespējas vairāk teksta, izmantojot savu Twitter statusu, ja vēlaties efektīvi pārraidīt savu ziņojumu. Lasīt vairāk un pārliecinieties, vai URL marķieros ir izmantots pietiekami daudz rakstzīmju!

Vai jūs izmantojat URL saīsinātājus?

Liekas, ka pakalpojumu saīsināšana arvien pieaug, un regulāri parādās jauni pakalpojumi. Twitter 140 rakstzīmju ierobežojums un grūtības darbs ar garām teksta virknēm mobilajās ierīcēs URL Shortener ir Šveices saite, kurā var koplietot un saglabāt AndroidURL Shortener atšķir to, cik viegli jums ir saglabāt saites, kopēt tās starpliktuvē vai koplietot tās tieši no izvēlnes. Lasīt vairāk iespējams, ir veicinājuši to noderīgumu, un spēja nosūtīt saiti daudz skatītājiem draudzīgākā formātā noteikti ir pievilcīga. Nav strīdu par to, ka tie ir ļoti ērti, taču ērtības, iespējams, nav tā vērts, lai riskētu.

Vai jūs izmantojat URL saīsināšanas pakalpojumu? Kuru jūs izmantojat? Vai jūs to izmantojat slepeniem dokumentiem vai tikai publiski pieejamām saitēm? Vai jūs tagad uztraucaties par savu saišu drošību? Dalieties savās domās zemāk!

Attēlu kredīti: Georgiev un Shmatikov caur arXiv.