Gabriel Brooks
0 
1800
177
Skraćivači URL-ova Isprobajte 10 različitih URL-ova skraćivača URL-a koji vam daju dodatne prednosti Isprobajte 10 različitih URL-ova skraćivača koji vam daju dodatne prednosti Koliko samo drugačije možete skratiti jednoobrazni lokator resursa? Pa, sustav za skraćivanje prilično je pokretački posao, ali čini se da je trik u dodacima koji dolaze sa uslugom skraćivanja ... poput bit.ly, goo.gl, tinyurl i ow.ly izvrsno za olakšavanje dijeljenja veza; ne morate zalijepiti jako dugački ružni URL u prozor za razgovor ili e-poštu kako biste nekome pomogli da pronađe stranicu do koje želite da dođe. No nedavna studija pokazala je da bi ta pogodnost mogla donijeti značajan trošak za vašu sigurnost.
Studija
Tijekom 18 mjeseci, dva istraživača tvrtke Cornell Tech razgledala su skraćene URL-ove koje su stvorile dvije različite usluge: Microsoft OneDrive i Google Maps. Obje usluge stvaraju skraćene veze za dijeljenje web stranica (OneDrive ih koristi za dijeljenje pristupa dokumentima, a Google Maps koristi ih za dijeljenje uputa ili lokacija).
Zbog malog broja znakova korištenih u ovim skraćenim vezama, istraživači su mogli upotrijebiti grubi napad kako bi pronašli skraćene URL-ove koji se povezuju sa stvarnim dokumentima. Istraživači su analizirali 100 000 000 bit.ly URL-ova slučajno odabranim znakovima sa šest znakova (poput “1maQ2JZ”). 42% svih tokena riješeno je stvarnih punih URL-ova, a gotovo 19.500 onih dovelo je do dokumenata OneDrive..
Istraživači su također pronašli gotovo 24 000 000 veza uživo prilikom skeniranja tokena s pet znakova koje je prethodno koristio goo.gl/maps, od kojih je oko 10% bilo za upute za vožnju.
Pristup dokumentima OneDrive i uputama na Google Maps dovoljno je loš, ali istraživači su otkrili da bi mogli učiniti još više s informacijama koje su povratili s tih veza. Na primjer, analizirajući standardnu strukturu URL-ova OneDrive, uspjeli su se kretati i dobiti pristup brojnim računima OneDrivea, od kojih su mnogi utvrdili da su stvarni zapisi, što znači da mogu mijenjati datoteke ili prenositi zlonamjerni softver koji će se automatski preuzeti u vlasnikovo računalo.
I pomoću Google Maps, istraživači su otkrili puno informacija koje bi ljudi vjerojatno željeli zadržati privatnima. Gledajući adrese stanovanja, mogli bi poučiti o tome koja su kućanstva uključivala osobu koja je išla u specijalističke klinike za medicinsko liječenje, centre za liječenje ovisnosti, striptiz klubove i pružatelje pobačaja. Pokazalo se da su informacije o lokaciji vrlo vrijedne Što mogu državne sigurnosne agencije reći s metapodataka s vašeg telefona? Što vladine sigurnosne agencije mogu reći iz metapodataka vašeg telefona? u pribavljanju identifikacijskih podataka za pojedince, a te informacije u kombinaciji s nekom skraćenom poviješću putovanja mogle bi biti vrlo korisne za lopove identiteta.
Ako želite vidjeti cijeli objavljeni članak, to možete provjeriti na arXiv, a jedan od istraživača objavio je i blog blog s korisnim sažetkom.
Promjene izvršene
Istraživači Cornell Tech-a podijelili su svoje rezultate s Microsoftom i Googleom, a obje su kompanije poduzele korake kako bi umanjile vjerojatnost da njihovi korisnici mogu biti ugroženi skraćenim URL-ovima.
Skraćivanje URL-ova uklonjeno je s OneDrive sučelja, a metoda korištena za dobivanje više informacija o korisnikovom računu više ne funkcionira (unatoč Microsoftovom zanijekanju da njihove promjene imaju bilo kakve veze s ovim izvješćem ili da je studija čak otkrila sigurnosnu ranjivost). Međutim, stare skraćene veze ostaju ranjive.
Google Maps sada koriste tokene sa 11 i 12 znakova umjesto onih s pet znakova ponuđenih prije, što ih čini znatno teže otkriti napadom grube sile. Google je također otežao skeniranje velikog broja URL-ova odjednom.
Budite oprezni
Iako su ove dvije službe poduzele korake za ublažavanje prijetnje, mogućnost većih ranjivosti u procesu skraćivanja veza vjerojatno će se naći negdje u budućnosti (sve moćnija računala Quantum Computers: Kraj kriptografije? Quantum Computers: The Kraj kriptografije? Kvantno računanje kao ideja postoji već neko vrijeme - teorijska je mogućnost prvobitno uvedena 1982. Tijekom posljednjih nekoliko godina polje se približilo praktičnosti. Kad sam nedavno provjerio upotrebljavaju li popularne usluge skraćivanja mali broj znakova u svojim tokenima, i Ow.ly i tinyurl su imali tokene sa šest znakova, a bit.ly je koristio sedam.
Iako su obojica bolja od Googleovih prethodnih pet, još uvijek je zabrinjavajuće da će ljudi na ovaj način slati pristup važnim datotekama ili osobnim podacima. Istraživači tvrtke Cornell Tech pokazali su da jednostavno skeniranje ovih URL-ova može otkriti iznenađujuću količinu informacija o određenim korisnicima, uključujući nekoliko najvažnijih informacija za krađu identiteta 10 informacija koje se koriste za krađu vašeg identiteta 10 informacija koje se koriste za krađu vašeg identiteta Prema američkom Uredu pravde, krađa identiteta koštala je žrtve više od 24 milijarde dolara u 2012. godini, više od provale u domaćinstvo, krađe automobila i imovine. Ovih 10 informacija su ono što lopovi traže ... .
Pa što bi trebao učiniti? Da biste bili potpuno sigurni, samo nemojte koristiti sredstva za skraćivanje URL-a za sve što bi moglo biti dragocjeno hakeri, kradljivcu identiteta ili drugom nesretniku. Kraće su zaista korisne, ali većinu vremena dugačak URL će funkcionirati sasvim u redu. Velika je, ružna i zauzima puno prostora u prozoru e-pošte ili chata, ali je i puno sigurnija.
Isto tako, budite svjesni da i mnoge druge usluge nude skraćivanje URL-a. Možda ćete htjeti biti oprezni i s njima. Kako svaka od tih usluga obrađuje dopuštenja sa skraćenim URL-ovima vjerojatno će se razlikovati, ali ako ste slučajno dali pristup Flickr-u, Google Photos-u, Google disku, Twitteru, Facebooku ili nekom drugom postu, teško je znati što će se dogoditi.
Ako vam se daje mogućnost skraćivanja URL-a s tokenom koji je duži od šest ili sedam znakova, trebali biste ga iskoristiti. Istraživači su u svom radu rekli da tokeni od 11 i 12 znakova koje koristi Google Maps ne mogu silovati (barem s trenutnom tehnologijom i razumnim uloženim naporom), pa je ciljanje barem 10 vjerojatno dobra ideja.
Ili jednostavno napravite svoj vlastiti krađi URL-a Prednosti postavljanja vlastitog skraćivača URL-a i kako to učiniti Prednosti postavljanja vlastitog skraćivača URL-a i kako to učiniti u svijetu sa 140 znakova i kratkim rasponima pažnje, morate nabavite što više teksta u svom statusu na Twitteru, ako ćete učinkovito prenijeti svoju poruku. i provjerite koristi li dovoljno znakova u svojim URL tokenima!
Koristite li kraće URL-ova?
Čini se da je skraćivanje usluga u porastu, a nove usluge redovito se pojavljuju. Twitter-ovo ograničenje od 140 znakova i poteškoća u radu s dugim nizovima teksta na mobilnim uređajima URL Shortener je švicarski nož za dijeljenje veza i spremanje na Android URL-u Shortener je švicarski nož za dijeljenje veza i spremanje na Androidu Ono što razdvaja URL Shortener je koliko vam olakšava spremanje veza, kopiranje u međuspremnik ili dijeljenje izravno iz izbornika. vjerojatno su doprinijeli njihovoj korisnosti, a mogućnost slanja veze u mnogo povoljnijem formatu za gledatelje sigurno je privlačna. Ne možete tvrditi da su vrlo povoljni, ali ta pogodnost možda nije vrijedna rizika.
Koristite li uslugu skraćivanja URL-ova? Koji koristite? Koristite li ga za osjetljive dokumente ili samo za javno dostupne veze? Jeste li sada zabrinuti za sigurnost svojih veza? Podijelite svoja razmišljanja u nastavku!
Slikovni krediti: Georgiev i Shmatikov putem arXiv.