Startseite Bezpečnostní Zkrácené odkazy ohrožují vaši bezpečnost?

Zkrácené odkazy ohrožují vaši bezpečnost?

  • William Charles
  • 0
  • 4838
  • 1163
reklama

URL shorteners Vyzkoušejte 10 různých URL Shorteners, které vám přináší výhody Addon Vyzkoušejte 10 různých URL Shorteners, které vám poskytují Addon Výhody Jak odlišně můžete zkrátit jednotný vyhledávač zdrojů? No, systém zkracování je do značné míry běžná práce, ale trik se zdá být v kompartech, které přicházejí se službou zkracování ... jako bit.ly, goo.gl, tinyurl a ow.ly jsou skvělé pro usnadnění sdílení odkazů; nemusíte do okna chatu nebo e-mailu vložit opravdu dlouhou ošklivou adresu URL, aby někdo pomohl najít cestu na stránku, na kterou se chcete dostat. Nedávná studie však ukázala, že toto pohodlí může znamenat značné náklady na vaši bezpečnost.

Studium; studie

V průběhu 18 měsíců se dva vědci v Cornell Tech podívali na zkrácené adresy URL vytvořené dvěma různými službami: Microsoft OneDrive a Google Maps. Obě služby vytvářejí zkrácené odkazy pro sdílení webových stránek (OneDrive je používá ke sdílení přístupu k dokumentům a Mapy Google je používá ke sdílení tras nebo míst).

Vzhledem k malému počtu znaků použitých v těchto zkrácených odkazech byli vědci schopni použít útok hrubou silou k nalezení zkrácených adres URL, které odkazují na skutečné dokumenty. Vědci analyzovali 100 000 000 bit.ly adres URL náhodně vybranými šesti znakovými tokeny (jako “1maQ2JZ”). 42% všech tokenů přešlo na skutečné úplné adresy URL a téměř 19 500 z nich vedlo k dokumentům OneDrive.

Vědci také našli téměř 24 000 000 živých odkazů při skenování pěti znakových tokenů, které dříve používaly goo.gl/maps, z nichž asi 10% bylo určeno pro směr jízdy.

Získání přístupu k dokumentům OneDrive a trasám v Mapách Google je dost špatné, ale vědci zjistili, že s informacemi, které získali z těchto odkazů, mohou udělat ještě více. Například analýzou standardní struktury adres URL OneDrive se jim podařilo navigovat a získat přístup k řadě účtů OneDrive, z nichž mnohé našly, byly skutečně zapisovatelné, což znamená, že mohly změnit soubory nebo nahrát malware, který by byl automaticky stažen do počítač majitele.

A s Mapami Google vědci objevili spoustu informací, které by si lidé pravděpodobně chtěli uchovat v soukromí. Když se podívali na adresy bydliště, mohli učinit vzdělané odhady, které domácnosti zahrnovaly osobu, která chodila na speciální kliniky pro lékařské ošetření, centra pro léčbu závislostí, strip kluby a poskytovatele potratů. Ukázalo se, že informace o poloze jsou velmi cenné. Co mohou vládní bezpečnostní agentury říci z metadat vašeho telefonu? Co mohou vládní bezpečnostní agentury říct z metadat vašeho telefonu? při získávání identifikačních informací pro jednotlivce a tyto informace kombinované s jakoukoli zkrácenou historií cestování by mohly být velmi užitečné pro zloděje identity.

Pokud chcete vidět celý publikovaný článek, můžete si ho prohlédnout na arXiv a jeden z vědců také publikoval blogový příspěvek s užitečným shrnutím.

Změny provedeny

Vědci společnosti Cornell Tech sdíleli své výsledky se společnostmi Microsoft a Google a obě společnosti podnikly kroky ke snížení pravděpodobnosti, že by jejich uživatelé mohli být ohroženi zkrácenými adresami URL..

Zkratka URL byla odstraněna z rozhraní OneDrive a metoda použitá k získání více informací o uživatelském účtu již nefunguje (navzdory odmítnutí společnosti Microsoft, že jejich změny mají co do činění s touto zprávou nebo že studie dokonce odhalila chybu zabezpečení). Staré zkrácené odkazy však zůstávají zranitelné.

Mapy Google nyní využívají 11- a 12-znakové tokeny místo těch, které byly dříve nabízeny, a proto je mnohem těžší odhalit je útokem hrubou silou. Google také ztěžoval skenování velkého počtu adres URL najednou.

Buďte opatrní

Přestože tyto dvě služby podnikly kroky ke zmírnění hrozby, v budoucnu bude pravděpodobně možné najít více zranitelností v procesu zkracování spojů (stále větší a výkonnější počítače Quantum Computers: The End of Cryptography? Quantum Computers: The Konec kryptografie - Kvantová výpočetní technika jako myšlenka existuje už nějakou dobu - teoretická možnost byla původně zavedena v roce 1982. V posledních letech se toto pole blíží praktičnosti. Určitě pomůže). Když jsem nedávno zkontroloval, zda populární zkrácené služby ve svých žetonech používají malé počty znaků, měl jak ow.ly, tak tinyurl šestiznakové tokeny, a bit.ly použil sedm.

I když jsou oba lepší než těch předchozích pět, stále se obává, že by lidé mohli tímto způsobem odesílat přístup k důležitým souborům nebo osobním informacím. Výzkumníci společnosti Cornell Tech prokázali, že jednoduché skenování těchto adres URL hrubou silou může odhalit překvapivé množství informací o konkrétních uživatelích, včetně několika nejdůležitějších informací o krádeži identity. 10 kusů informací, které se používají k odcizení vaší identity 10 kusů informací, které se používají k odcizení vaší identity Podle Úřadu pro spravedlnost USA stojí oběť krádeže identity v roce 2012 více než 24 miliard USD, což je více než společné krádež vloupáním do domácnosti, motor a majetek. Těchto 10 informací je to, co zloději hledají… .

Co byste tedy měli dělat? Chcete-li být zcela v bezpečí, nepoužívejte zkrácené adresy URL pro nic, co by mohlo být cenné pro hackera, zloděje identity nebo jiného špatně vytvořeného. Zkracování jsou opravdu užitečná, ale po většinu času bude dlouhá URL fungovat dobře. Je to velké, ošklivé a zabírá hodně místa v okně e-mailu nebo chatu, ale je také mnohem bezpečnější.

Také si uvědomte, že mnoho dalších služeb nabízí zkrácení URL, a možná budete chtít být s nimi opatrní. Jak každá z těchto služeb zpracovává oprávnění se zkrácenými adresami URL, se pravděpodobně bude lišit, ale pokud jste omylem rozdali přístup k Flickru, Fotky Google, Disku Google, Twitteru, Facebooku nebo jinému příspěvku, je těžké vědět, co se stane..

Pokud máte možnost zkrátit adresu URL tokenem, který je delší než šest nebo sedm znaků, měli byste ji vzít. Vědci ve svém příspěvku uvedli, že tokeny o 11 a 12 znakech, které používají Mapy Google, nejsou brutálně vynutitelné (přinejmenším současnou technologií a přiměřeným úsilím), takže zaměření na nejméně 10 je pravděpodobně dobrý nápad.

Nebo si jednoduše vytvořte svůj vlastní zkrácovač adres URL Výhody nastavení vlastního zkracování adres URL a jak to udělat Výhody nastavení vlastního zkracování adres URL a jak to udělat Ve světě 140 znaků a krátké pozornosti je třeba získat co nejvíce textu ve svém stavu na Twitteru, pokud se chystáte efektivně šířit vaši zprávu. a ujistěte se, že ve svých tokenech URL používá dostatek znaků!

Používáte zkrácení adresy URL?

Zdá se, že služby zkrácení rostou na popularitě a pravidelně se objevují nové služby. Twitter je 140 znaků a obtížnost práce s dlouhými řetězci textu na mobilních zařízeních URL Shortener je švýcarský nůž sdílení odkazů a ukládání na Android URL Shortener je švýcarský nůž sdílení odkazů a ukládání na Android Co nastavuje URL Shortener odděleně je jak je pro vás snadné ukládat odkazy, kopírovat je do schránky nebo je sdílet přímo z nabídky. pravděpodobně přispěly k jejich užitečnosti a schopnost odeslat odkaz v mnohem přátelštějším formátu pro diváky je určitě lákavá. Nelze argumentovat, že jsou velmi pohodlné, ale pohodlí nemusí být za riziko.

Používáte službu zkracování adres URL? Který z nich používáte? Používáte jej pro citlivé dokumenty nebo pouze pro veřejně přístupné odkazy? Máte nyní obavy o bezpečnost vašich odkazů? Podělte se o své myšlenky níže!

Obrazové kredity: Georgiev a Shmatikov přes arXiv.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Ano, můžete sledovat TV online legálně a zdarma
Zábava
Jak se dívat na Sling TV zdarma tuto neděli
Zábava
Plex pro Kodi Co to je a proč je potřebuji?
Zábava
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.