Link-urile scurte vă compromit securitatea?
Scurtatoare de adrese URL Încercați 10 Scurtatoare de URL diferite care vă dau Beneficii Addon Încercați 10 Scurtatoare de URL diferite care vă oferă Beneficii Addon Doar cât de diferit puteți scurta un localizator de resurse uniform? Sistemul de scurtare este destul de mult un loc de muncă, dar trucul pare să fie în extrasurile care vin cu serviciul de scurtare ... Citește Mai mult ca bit.ly, goo.gl, tinyurl, și ow. sunt excelente pentru a facilita distribuirea legăturilor; nu trebuie să lipiți o adresă URL foarte lungă și urâtă într-o fereastră de chat sau într-un e-mail pentru a ajuta pe cineva să-și găsească drumul spre pagina pe care doriți să o acceseze. Dar un studiu recent a arătat că această comoditate ar putea veni cu un cost semnificativ pentru securitatea dumneavoastră.
Studiul
Pe parcursul a 18 luni, doi cercetători de la Cornell Tech au analizat adresele URL scurte create de două servicii diferite: Microsoft OneDrive și Google Maps. Ambele servicii creează link-uri scurte pentru partajarea paginilor web (OneDrive le folosește pentru a partaja accesul la documente și Hărți Google le utilizează pentru a partaja indicații sau locații).
Datorită numărului redus de caractere folosite în aceste linkuri scurte, cercetătorii au reușit să utilizeze un atac brutal pentru a găsi URL-uri scurte care au legătură cu documentele actuale. Cercetătorii au analizat 100.000.000 de adrese URL bit.ly cu jetoane șase caractere alese la întâmplare (cum ar fi “1maQ2JZ”). 42% din toate jetoanele au fost rezolvate pentru adrese URL complete, iar aproape 19.500 dintre acestea au condus la documente OneDrive.
Cercetătorii au găsit, de asemenea, aproape 24 000 000 de link-uri live atunci când scanează jetoanele de cinci caractere folosite anterior de goo.gl/maps, aproximativ 10% din care erau pentru indicații de conducere.
Accesul la documentele OneDrive și la instrucțiunile din Hărți Google este destul de rău, dar cercetătorii au descoperit că ar putea face și mai mult cu informațiile pe care le-au recuperat de pe aceste linkuri. De exemplu, prin analizarea structurii standard a URL-urilor OneDrive, au putut naviga și obține acces la un număr de conturi OneDrive, dintre care mulți au fost de fapt scriși, ceea ce înseamnă că pot schimba fișiere sau încărca programe malware care ar fi descărcate automat computerul proprietarului.
Și cu Google Maps, cercetătorii au descoperit o mulțime de informații pe care oamenii ar dori probabil să le păstreze privat. Privind adresele rezidențiale, aceștia ar putea face presupuneri educate cu privire la gospodăriile care au inclus o persoană care a mers la clinici de specialitate pentru tratamente medicale, centre de tratament pentru dependență, cluburi de striptease și furnizori de avort. S-a arătat că informațiile despre locație sunt foarte valoroase Ce pot spune agențiile de securitate guvernamentale din metadatele telefonului dvs.? Ce pot spune agențiile de securitate guvernamentale din metadatele telefonului dvs.? Citiți mai multe despre obținerea informațiilor de identificare pentru persoane fizice și că informațiile combinate cu un fel de istoric de călătorie abreviat ar putea fi foarte utile pentru a identifica hoții.
Dacă doriți să vedeți articolul publicat complet, puteți să îl verificați la arXiv, iar unul dintre cercetători a publicat, de asemenea, un post pe blog cu un rezumat util.
Modificările efectuate
Cercetătorii Cornell Tech și-au împărtășit rezultatele cu Microsoft și Google și ambele companii au luat măsuri pentru a reduce probabilitatea ca utilizatorii săi să fie compromise prin URL-uri scurte.
Scurtarea URL-ului a fost eliminată din interfața OneDrive, iar metoda utilizată pentru a obține mai multe informații despre contul utilizatorului nu mai funcționează (în ciuda faptului că Microsoft a negat că modificările sale aveau legătură cu acest raport sau că studiul a dezvăluit chiar o vulnerabilitate de securitate). Legăturile vechi scurtate, totuși, rămân vulnerabile.
Hărțile Google folosesc acum jetoane de 11 și 12 caractere, în loc de cele cinci caractere oferite înainte, ceea ce face mult mai greu să le dezvălui cu un atac de forță brute. De asemenea, Google a făcut mai dificilă scanarea simultană a unui număr vast de adrese URL.
Stați atent
Chiar dacă aceste două servicii au luat măsuri pentru a atenua amenințarea, probabilitatea ca mai multe vulnerabilități în procesul de scurtare a legăturilor să se găsească probabil în viitor (computerele tot mai puternice). Calculatoare cuantice: sfârșitul criptografiei? Sfârșitul criptografiei Calculul cuantic a fost o idee în jur de ceva timp - posibilitatea teoretică a fost introdusă inițial în 1982. În ultimii ani, domeniul a fost mai aproape de practică. Când am verificat recent pentru a vedea dacă serviciile de scurtare populare folosesc un număr mic de caractere în jetoanele lor, atât ow.ly cât și tinyurl aveau jetoane de șase caractere și bit.ly au folosit șapte.
În timp ce ambele sunt mai bune decât cele din ultimele cinci, este îngrijorător faptul că utilizatorii ar putea să trimită acces la fișiere importante sau informații personale în acest fel. Cercetătorii Cornell Tech au demonstrat că o simplă scanare a acestor adrese URL poate dezvălui o sumă surprinzătoare de informații despre anumiți utilizatori, inclusiv câteva dintre cele mai importante informații despre furtul de identitate. 10 Piesele de informații care sunt utilizate pentru a vă fura identitatea 10 piese de informații care sunt utilizate pentru a vă fura identitatea Conform Biroului de Justiție al SUA, victimele costurilor de furt de identitate depășesc 24 de miliarde de dolari în 2012, mai mult decât furtul de uz casnic, motorul și furtul de bunuri combinate. Aceste 10 informații sunt ceea ce hoții se uită ... Citește mai mult .
Deci ce ar trebui să faceți? Pentru a fi complet sigur, nu folosiți scurtătoare de adrese URL pentru nimic care ar putea fi valoroasă pentru un hacker, un hoț de identitate sau altul care nu a crezut. Scurtatorii sunt cu adevărat folositori, dar, de cele mai multe ori, o lungă adresă URL va funcționa foarte bine. Este mare, urât și ocupă o mulțime de spațiu într-o fereastră de e-mail sau chat, dar este, de asemenea, mult mai sigură.
De asemenea, rețineți că multe alte servicii oferă scurtarea adreselor URL și este posibil să doriți să fiți atenți și la acestea. Modul în care fiecare dintre aceste servicii se ocupă de permisiuni cu adrese URL scurtate este posibil să difere, dar dacă ați dat accidental accesul la Flickr, Google Foto, Google Drive, Twitter, Facebook sau altă postare, este greu să știți ce se va întâmpla.
Dacă vi se dă posibilitatea de a scurta o adresă URL cu un jeton mai mare de șase sau șapte caractere, ar trebui să-l luați. Cercetatorii au spus in ziarul lor ca jetoanele de 11 si 12 caractere folosite de Google Maps nu sunt brute-forceable (cel putin cu tehnologia actuala si cu o cantitate rezonabila de efort), astfel ca cel putin 10 este probabil o idee buna.
Sau doar a face propriul dvs. URL shortener Avantajele de a stabili propriul dvs. URL Shortener și cum să-l Avantajele de a stabili propriul dvs. URL Shortener și cum să-l facă într-o lume de 140 de caractere, și atenții scurte se întinde, trebuie să obțineți cât mai mult text în starea dvs. Twitter, dacă intenționați să transmiteți mesajul în mod eficient. Citiți mai mult și asigurați-vă că utilizează suficiente caractere în jetoanele sale URL!
Utilizați Shorteners de adrese URL?
Serviciile de scurtare par a fi în creștere în popularitate, cu noi servicii înființate în mod regulat. Limitarea limitelor de 140 de caractere ale Twitter și dificultatea de a lucra cu șiruri lungi de text pe dispozitive mobile URL Shortener este cuțitul elvețian de partajare și salvare a legăturilor pe Android Shortener URL-ul este cuțitul elvețian de partajare și salvare a legăturilor pe Android Ce stabilește URL-ul Shortener în afară cât de ușor vă permite să salvați linkuri, să le copiați într-un clipboard sau să le distribuiți direct dintr-un meniu. Citește mai mult au contribuit probabil la utilitatea lor, iar capacitatea de a trimite o legătură într-un format mult mai prietenos pentru spectatori este cu siguranță atrăgătoare. Nu există nici un argument că acestea sunt foarte convenabile, dar este posibil ca comoditatea să nu merite riscul.
Utilizați un serviciu de scurtare a adreselor URL? Cu ce folosiți? Îl folosești pentru documente sensibile sau doar pentru legături accesibile publicului? Acum sunteți îngrijorat de securitatea legăturilor dvs.? Împărtășește-ți gândurile de mai jos!
Credite de imagine: Georgiev și Shmatikov prin arXiv.
Explorați mai multe despre: Online Security, URL Shortener.