Mark Lucas
0 
1971
59
Skracacze URL Wypróbuj 10 różnych skracaczy URL, które dają dodatkowe korzyści Wypróbuj 10 różnych skracaczy URL, które dają dodatkowe korzyści Jak inaczej możesz skrócić jednolity lokalizator zasobów? Cóż, system skracania jest prawie codziennością, ale wydaje się, że sztuczka polega na dodatkach, które są dostarczane z usługą skracania… jak bit.ly, goo.gl, tinyurl i ow.ly są doskonały do ułatwienia udostępniania linków; nie musisz wklejać naprawdę długiego, brzydkiego adresu URL do okna czatu lub wiadomości e-mail, aby pomóc komuś znaleźć drogę do strony, do której chcesz przejść. Jednak ostatnie badania wykazały, że ta wygoda może wiązać się ze znacznymi kosztami dla twojego bezpieczeństwa.
Badania
W ciągu 18 miesięcy dwóch naukowców z Cornell Tech spojrzało na skrócone adresy URL utworzone przez dwie różne usługi: Microsoft OneDrive i Google Maps. Obie usługi tworzą skrócone linki do udostępniania stron internetowych (OneDrive używa ich do udostępniania dostępu do dokumentów, a Google Maps używa ich do udostępniania wskazówek lub lokalizacji).
Z powodu małej liczby znaków użytych w tych skróconych linkach badacze mogli użyć ataku siłowego, aby znaleźć skrócone adresy URL, które prowadzą do rzeczywistych dokumentów. Badacze przeanalizowali 100 000 000 bitowych adresów URL z losowo wybranymi sześcioznakowymi tokenami (np “1maQ2JZ”). 42% wszystkich tokenów zostało przetworzonych na rzeczywiste pełne adresy URL, a prawie 19 500 z nich prowadziło do dokumentów OneDrive.
Badacze znaleźli również prawie 24 000 000 linków na żywo podczas skanowania pięcioznakowych żetonów używanych wcześniej przez goo.gl/maps, z których około 10% służyło do wskazówek dojazdu.
Uzyskanie dostępu do dokumentów OneDrive i wskazówek w Mapach Google jest wystarczająco złe, ale naukowcy odkryli, że mogliby zrobić jeszcze więcej dzięki informacjom odzyskanym z tych linków. Na przykład, analizując standardową strukturę adresów URL OneDrive, byli w stanie nawigować i uzyskiwać dostęp do wielu kont OneDrive, z których wiele znalazło w rzeczywistości do zapisu, co oznacza, że mogli zmieniać pliki lub przesyłać złośliwe oprogramowanie, które zostaną automatycznie pobrane na komputer właściciela.
Dzięki Mapom Google naukowcy odkryli wiele informacji, które ludzie prawdopodobnie chcieliby zachować prywatność. Patrząc na adresy zamieszkania, mogli zgadywać, które gospodarstwa domowe obejmowały osobę, która udała się do specjalistycznych klinik na leczenie, ośrodki leczenia uzależnień, kluby ze striptizem i osoby aborcyjne. Wykazano, że informacje o lokalizacji są bardzo cenne. Co mogą powiedzieć rządowe agencje bezpieczeństwa na podstawie metadanych telefonu? Co rządowe agencje bezpieczeństwa mogą odczytać z metadanych twojego telefonu? w uzyskiwaniu informacji umożliwiających identyfikację osób, a informacje te w połączeniu ze swoistą skróconą historią podróży mogą być bardzo przydatne dla złodziei tożsamości.
Jeśli chcesz zobaczyć pełny opublikowany artykuł, możesz go sprawdzić na arXiv, a jeden z badaczy opublikował również post na blogu z przydatnym podsumowaniem.
Zmiany dokonane
Badacze Cornell Tech udostępnili swoje wyniki firmom Microsoft i Google, a obie firmy podjęły kroki w celu zmniejszenia prawdopodobieństwa narażenia użytkowników na niebezpieczeństwo przez skrócenie adresów URL.
Skracanie adresów URL zostało usunięte z interfejsu OneDrive, a metoda zastosowana w celu uzyskania większej ilości informacji o koncie użytkownika już nie działa (pomimo zaprzeczenia przez Microsoft, że ich zmiany miały związek z tym raportem lub że badanie ujawniło nawet lukę w zabezpieczeniach). Stare skrócone linki pozostają jednak podatne na ataki.
Mapy Google używają teraz 11- i 12-znakowych żetonów zamiast oferowanych wcześniej pięcioznakowych, co znacznie utrudnia ich ujawnienie za pomocą ataku brutalnej siły. Google utrudniło także skanowanie ogromnej liczby adresów URL jednocześnie.
Bądź ostrożny
Mimo że te dwie usługi podjęły kroki w celu ograniczenia zagrożenia, w przyszłości może pojawić się więcej luk w procesie skracania linków (coraz mocniejsze komputery Quantum Computers: The End of Cryptography? Quantum Computers: The Koniec kryptografii? Obliczenia kwantowe jako pomysł istnieją już od jakiegoś czasu - teoretyczna możliwość została pierwotnie wprowadzona w 1982 r. W ciągu ostatnich kilku lat dziedzina ta była coraz bliższa praktyczności. Z pewnością pomoże). Kiedy ostatnio sprawdziłem, czy popularne usługi skracania używają niewielkiej liczby znaków w swoich tokenach, zarówno ow.ly, jak i tinyurl miały sześcioznakowe tokeny, a bit.ly używał siedmiu.
Chociaż oba są lepsze niż poprzednie pięć Google, nadal martwi się, że ludzie mogą w ten sposób wysyłać dostęp do ważnych plików lub danych osobowych. Badacze Cornell Tech wykazali, że prosty skan tych adresów URL metodą brutalnej siły może ujawnić zaskakującą ilość informacji na temat konkretnych użytkowników, w tym kilka najważniejszych informacji na temat kradzieży tożsamości. 10 elementów informacji wykorzystywanych do kradzieży tożsamości 10 fragmentów informacji wykorzystywanych do kradzieży tożsamości Według danych Biura Sprawiedliwości USA kradzież tożsamości kosztowała ofiary w 2012 r. Ponad 24 miliardy dolarów, więcej niż włamanie do domu, kradzież samochodu i mienia łącznie. Te 10 informacji jest tym, czego szukają złodzieje… .
Co powinieneś zrobić? Aby być całkowicie bezpiecznym, po prostu nie używaj skracaczy URL do niczego, co może być cenne dla hakera, złodzieja tożsamości lub innych wykroczeń. Skracacze są naprawdę przydatne, ale przez długi czas długi URL będzie działał dobrze. Jest duży, brzydki i zajmuje dużo miejsca w oknie wiadomości e-mail lub czatu, ale jest również znacznie bezpieczniejszy.
Pamiętaj też, że wiele innych usług oferuje skracanie adresów URL, więc możesz też być ostrożny z nimi. Sposób, w jaki każda z tych usług obsługuje uprawnienia ze skróconymi adresami URL, może się różnić, ale jeśli przypadkowo wydałeś dostęp do Flickr, Zdjęć Google, Dysku Google, Twittera, Facebooka lub innego postu, trudno jest wiedzieć, co się stanie.
Jeśli masz możliwość skrócenia adresu URL za pomocą tokena dłuższego niż sześć lub siedem znaków, powinieneś go wziąć. Naukowcy stwierdzili w swoim artykule, że tokenów 11 i 12 znaków używanych w Mapach Google nie można poddawać brutalnej sile (przynajmniej przy obecnej technologii i rozsądnym nakładzie pracy), więc celowanie w co najmniej 10 jest prawdopodobnie dobrym pomysłem.
Lub po prostu stwórz własny skracacz URL Zalety konfigurowania własnego skracacza URL i jak to zrobić Zalety konfigurowania własnego skracacza URL i jak to zrobić W świecie 140 znaków i krótkiej uwagi musisz uzyskaj jak najwięcej tekstu w swoim statusie na Twitterze, jeśli chcesz skutecznie przekazać swoją wiadomość. i upewnij się, że używa wystarczającej liczby znaków w swoich tokenach URL!
Czy używasz skracaczy URL??
Wydaje się, że popularność usług skracających rośnie, a nowe usługi pojawiają się regularnie. Limit 140 znaków na Twitterze i trudność w pracy z długimi ciągami tekstu na urządzeniach mobilnych Skracacz URL to szwajcarski nóż do udostępniania i zapisywania linków na Androidzie Skracacz URL to szwajcarski nóż do udostępniania i zapisywania linków na Androidzie Co wyróżnia skracacz URL jak łatwo można zapisać linki, skopiować je do schowka lub udostępnić je bezpośrednio z menu. prawdopodobnie przyczyniły się do ich przydatności, a możliwość wysłania linku w znacznie bardziej przyjaznym dla widza formacie jest z pewnością pociągająca. Nie ma wątpliwości, że są one bardzo wygodne, ale wygoda może nie być warta ryzyka.
Czy korzystasz z usługi skracania adresów URL? Z którego korzystasz? Czy używasz go do poufnych dokumentów, czy tylko do publicznie dostępnych łączy? Czy martwisz się teraz o bezpieczeństwo swoich linków? Podziel się swoimi przemyśleniami poniżej!
Zdjęcia: Georgiev i Shmatikov via arXiv.