Съкратените връзки компрометират ли вашата сигурност?

реклама

URL скъсители Изпробвайте 10 различни съкращения на URL, които ви дават предимства на AddonКак по различен начин можете да съкратите равномерен локатор на ресурси? Е, системата за съкращаване е доста работа на мелницата, но трикът изглежда е в екстрите, които идват с услугата за съкращаване ... Прочетете още като bit.ly, goo.gl, tinyurl и ow.ly са чудесни за улесняване на споделянето на връзки; не е нужно да поставяте наистина дълъг, грозен URL адрес в прозорец за чат или имейл, за да помогнете на някой да намери пътя си до страницата, на която искате да стигне. Но скорошно проучване показа, че това удобство може да дойде със значителни разходи за вашата сигурност.

Ученето

В продължение на 18 месеца двама изследователи от Cornell Tech разгледаха съкратените URL адреси, създадени от две различни услуги: Microsoft OneDrive и Google Maps. И двете услуги създават съкратени връзки за споделяне на уеб страници (OneDrive ги използва за споделяне на достъп до документи, а Google Maps ги използва за споделяне на указания или местоположения).

Поради малкия брой знаци, използвани в тези съкратени връзки, изследователите успяха да използват груба атака, за да намерят съкратени URL адреси, които се свързват с действителни документи. Изследователите анализираха 100 000 000 бит.ли URL адреса с произволно избрани символи с шест символа (като „1maQ2JZ“). 42% от всички маркери са решили на действителни пълни URL адреси, а почти 19 500 от тях са довели до документи на OneDrive.

Изследователите откриха също почти 24 000 000 връзки на живо при сканиране на пет-символните символи, използвани по-рано от goo.gl/maps, около 10% от които бяха за посока на шофиране.

Достъпът до документи на OneDrive и указанията на Google Maps е достатъчно зле, но изследователите откриха, че могат да направят още повече с информацията, която са възстановили от тези връзки. Например, анализирайки стандартната структура на URL адреси на OneDrive, те успяха да навигират и да получат достъп до редица акаунти в OneDrive, много от които те откриха, че всъщност могат да се записват, което означава, че могат да променят файлове или да качват злонамерен софтуер, който автоматично ще бъде изтеглен в собственика компютър.

И с Google Maps, изследователите откриха много информация, която хората вероятно биха искали да останат частни. Като гледат жилищните адреси, те биха могли да направят познати кои домакинства включват човек, който отиде в специализирани клиники за медицинско лечение, центрове за лечение на зависимости, стриптийз клубове и доставчици на аборти. Показано е това информацията за местоположение е много ценна Какво могат да кажат правителствените агенции за сигурност от метаданните на вашия телефон? Прочетете още при получаване на идентифицираща информация за физически лица и тази информация, комбинирана с някаква съкратена история на пътуванията, може да бъде много полезна за крадците на самоличност.

Ако искате да видите пълната публикувана статия, можете проверете в arXiv, а един от изследователите също публикува а публикация в блога с полезно обобщение.

Промени са направени

Изследователите на Cornell Tech споделиха своите резултати с Microsoft и Google и двете компании са предприели стъпки, за да намалят вероятността потребителите им да бъдат компрометирани чрез съкратени URL адреси.

Съкращаването на URL адреси беше премахнато от интерфейса на OneDrive и методът, използван за получаване на повече информация за акаунта на потребителя, вече не е работи (въпреки отричането на Microsoft, че промените им имат нещо общо с този доклад или че проучването дори разкри сигурност уязвимост). Старите съкратени връзки обаче остават уязвими.

Google Maps вече използва 11-и 12-символни символи вместо пет-символите, предлагани преди, което прави значително по-трудно да ги разкрие с груба атака. Google също затруднява сканирането на огромен брой URL адреси наведнъж.

Бъдете внимателни

Въпреки че тези две служби са предприели стъпки за намаляване на заплахата, вероятността за по-големи уязвимости в процеса на съкращаване на връзките вероятно ще бъде намерена някъде в бъдеще (все по-мощни компютри Квантовите компютри: краят на криптографията?Квантовите изчисления като идея съществуват от известно време - теоретичната възможност първоначално е въведена през 1982 г. През последните няколко години полето се приближава до практичността. Прочетете още със сигурност ще помогне). Когато наскоро проверих дали популярните съкращаващи услуги използват малък брой знаци в своите символи, и ow.ly, и tinyurl имат шест знака, а bit.ly използват седем.

Въпреки че и двете са по-добри от предходните пет на Google, все още се притеснява, че хората могат да изпращат достъп до важни файлове или лична информация по този начин. Изследователите на Cornell Tech показаха, че обикновено сканиране на тези URL адреси с груба сила може да разкрие изненадващо количество информация за конкретни потребители, включително няколко от най-важните сведения за кражба на самоличност 10 части информация, които се използват за открадване на самоличността виКражбата на самоличност може да струва скъпо. Ето 10-те части информация, която трябва да защитите, за да не бъде открадната вашата самоличност Прочетете още .

И така, какво да правите? За да бъдете напълно безопасни, просто не използвайте средства за скъсяване на URL адреси за нещо, което може да бъде ценно за хакер, крадец на самоличност или друг злонамерен документ. Съкращенията са наистина полезни, но през повечето време дългият URL адрес ще работи добре. Той е голям, грозен и заема много място в прозореца за имейл или чат, но също така е и много по-безопасен.

Също така имайте предвид, че много други услуги предлагат съкращаване на URL адреси и може да искате да бъдете внимателни и с тези. Как всяка от тези услуги се справя с разрешения с съкратени URL адреси вероятно ще се различава, но ако случайно сте дали далечен достъп до Flickr, Google Photos, Google Drive, Twitter, Facebook или друга публикация, е трудно да се знае какво ще да се случи.

Ако имате избор да съкратите URL адрес с означение, което е по-дълго от шест или седем знака, трябва да го вземете. Изследователите посочват в своя документ, че 11-и 12-знаковите символи, използвани от Google Maps, не са груби (поне с настоящата технология и разумното количество усилия), така че да се насочите към поне 10 е вероятно добро идея.

Или просто направете свой собствен скъсяващ URL адрес Предимствата на настройката на вашия кратък URL адрес и как да го направитеВ свят от 140 знака и къси интервали от внимание, трябва да получите колкото е възможно повече текст в състоянието си в Twitter, ако искате ефективно да получите своето съобщение. Прочетете още и се уверете, че използва достатъчно символи в своите маркери за URL!

Използвате ли съкратители на URL?

Изглежда съкращаването на услугите се увеличава, като новите услуги се появяват редовно. Ограничението от 140 знака в Twitter и трудността на работа с дълги низове текст на мобилни устройства URL Shortener е швейцарският нож на споделяне на връзки и запазване на AndroidТова, което отличава URL Shortener, е колко лесно ви позволява да запазвате връзки, да ги копирате в клипборд или да ги споделяте директно от меню. Прочетете още вероятно са допринесли за тяхната полезност и възможността за изпращане на линк в много по-удобен за гледане формат със сигурност е привлекателна. Няма спор, че са много удобни, но удобството може да не си заслужава риска.

Използвате ли услуга за съкращаване на URL адреси? Кой от тях използвате? Използвате ли го за чувствителни документи или просто за обществено достъпни връзки? Сега се притеснявате за сигурността на връзките си? Споделете мислите си по-долу!

Кредитни изображения: Георгиев и Шматиков чрез arXiv.