פרסומת

מקצרי כתובות אתרים נסה 10 מקצרי כתובות אתרים שונים שיעניקו לך הטבות נוספותעד כמה ניתן לקצר איתור משאבים אחיד? ובכן, מערכת הקיצור היא די עבודה של מפעל, אבל נראה שהטריק נמצא בתוספות שמגיעות עם שירות הקיצור ... קרא עוד כמו bit.ly, goo.gl, tinyurl ו- ow.ly נהדרים להקל על שיתוף קישורים; אינך צריך להדביק כתובת URL ארוכה ומכוערת ממש בחלון צ'אט או בדוא"ל כדי לעזור למישהו למצוא את דרכו לדף אליו אתה רוצה להגיע. אולם מחקר שנערך לאחרונה הראה כי נוחות זו עשויה להגיע בעלות משמעותית לביטחון שלך.

המחקר

במהלך 18 חודשים, שני חוקרים מקורנל טק בדקו את כתובות האתר המקוצרות שנוצרו על ידי שני שירותים שונים: Microsoft OneDrive ו- Google Maps. שני השירותים יוצרים קישורים מקוצרים לשיתוף דפי אינטרנט (OneDrive משתמש בהם כדי לשתף גישה למסמכים, ומפות Google משתמשות בהן כדי לשתף כיוונים או מיקומים).

בגלל המספר המועט של הדמויות ששימשו בקישורים המקוצרים הללו, החוקרים הצליחו להשתמש במתקפת כוח ברוט כדי למצוא כתובות URL מקוצרות שקושרות למסמכים בפועל. החוקרים ניתחו 100 מיליון כתובות URL של bit.ly עם אסימוני שישה תווים שנבחרו באופן אקראי (כמו "1maQ2JZ"). 42% מכלל האסימונים החליטו לכתובות אתרים מלאות בפועל, וכמעט 19,500 מתוכם הובילו למסמכי OneDrive.

instagram viewer

נעלם בשש

החוקרים מצאו כמעט 24,000,000 קישורים חיים בעת סריקת האסימונים של חמש התווים ששימשו בעבר את goo.gl/maps, שכ -10% מהם נועדו לכיווני נסיעה.

קבלת גישה למסמכי OneDrive ולכיוונים של מפות גוגל זה מספיק גרוע, אך החוקרים גילו שהם יכולים לעשות עוד יותר עם המידע שהם התאוששו מאותם קישורים. לדוגמה, על ידי ניתוח המבנה הסטנדרטי של כתובות URL של OneDrive, הם הצליחו לנווט ולקבל גישה למספר חשבונות OneDrive, רבים מהם שאותם מצאו היו ניתנים לכתיבה, כלומר הם יכולים לשנות קבצים או להעלות תוכנות זדוניות שיורדו אוטומטית לשל הבעלים מחשב.

קישורים מקוונים-מקוונים

ועם מפות גוגל, החוקרים גילו מידע רב שאנשים כנראה היו רוצים לשמור עליהם באופן פרטי. על ידי התבוננות בכתובות מגורים, הם יכלו להניח ניחושים משכילים לגבי אילו משקי בית כוללים אדם אשר הלכתי למרפאות מתמחות לטיפול רפואי, מרכזי טיפול בהתמכרויות, מועדוני חשפנות וספקי הפלות. הוכח שכך מידע על מיקום הוא בעל ערך רב מה יכולות סוכנויות הביטחון הממשלתיות לספר ממטאסטה הטלפון שלך? קרא עוד בקבלת מידע מזהה ליחידים, ומידע זה בשילוב מעין היסטוריית נסיעות מקוצרת עשוי להועיל מאוד לגנבי הזהות.

מפות-קיצור-אוסטין

אם אתה רוצה לראות את המאמר המלא שפורסם, תוכל לעשות זאת בדוק את זה ב- arXiv, ואחד החוקרים פרסם גם א פוסט בלוג עם סיכום שימושי.

שינויים נעשו

חוקרי קורנל טק שיתפו את תוצאותיהם עם מיקרוסופט וגוגל, ושתי החברות נקטו צעדים כדי להפחית את הסבירות שהמשתמשים שלהם עלולים להתפשר על ידי כתובות URL מקוצרות.

קיצור כתובות אתרים הוסר מממשק OneDrive והשיטה המשמשת לקבלת מידע נוסף על חשבון המשתמש כבר לא עובד (למרות הכחשתה של מיקרוסופט כי השינויים שלהם קשורים לדו"ח זה או שהמחקר אפילו חשף ביטחון פגיעות). עם זאת, קישורים מקוצרים ישנים נותרים פגיעים.

מפות - קישור מקוצר

מפות גוגל משתמשות כיום באסימונים של 11 ו -12 תווים במקום אלה עם חמש תווים שהוצעו לפני כן, מה שמקשה משמעותית על חשיפתם באמצעות מתקפת כוח סוערת. גוגל גם הקשתה על סריקה של מספר עצום של כתובות אתרים בבת אחת.

הישאר בזהירות

למרות ששני השירותים הללו נקטו צעדים בכדי למתן את האיום, ככל הנראה האפשרות לפגיעויות נוספות בתהליך קיצור הקישורים תימצא מתישהו בעתיד (מחשבים יותר ויותר חזקים מחשבים קוונטיים: סוף הקריפטוגרפיה?מחשוב קוונטי כרעיון קיים כבר זמן מה - האפשרות התיאורטית הוצגה במקור בשנת 1982. במהלך השנים האחרונות התחום מתקרב למעשיות. קרא עוד בהחלט יעזור). כשבדקתי לאחרונה אם שירותי קיצור פופולריים משתמשים במספרים קטנים של תווים באסימונים שלהם, הן ל- ow.ly והן זעירורל היו אסימונים של שש תווים, ו- bit.ly השתמשו בשבעה.

קישור קצת-muo

אמנם שניהם טובים יותר מחמשת הקודמות של גוגל, אך עדיין מדאיג שאנשים עשויים לשלוח גישה לקבצים חשובים או למידע אישי בדרך זו. חוקרי קורנל טק הדגימו כי סריקה פשוטה של ​​כוח ברוטה של ​​כתובות אתרים אלה יכולה לחשוף כמות מפתיעה של מידע על משתמשים ספציפיים, כולל כמה מה פיסות המידע החשובות ביותר לגניבת זהות 10 פיסות מידע המשמשות לגניבת זהותךגניבת זהות יכולה להיות יקרה. להלן 10 פיסות המידע שאתה צריך להגן על מנת שזהותך לא תיגנב. קרא עוד .

אז מה עליכם לעשות? כדי להיות בטוח לחלוטין, פשוט אל תשתמש במקצרי כתובות אתרים לכל דבר שיכול להיות בעל ערך להאקר, גנב זהות או לא נכון אחר. מקצרים הם באמת שימושיים, אבל לרוב כתובת URL ארוכה תעבוד מצוין. זה גדול, מכוער ותופס הרבה מקום בחלון דוא"ל או צ'אט, אבל זה גם הרבה יותר בטוח.

מפות-כתובת אימייל מלאה

כמו כן, שימו לב ששירותים רבים אחרים מציעים קיצור כתובות אתרים, וייתכן שתרצו להיזהר גם עם אותם שירותים. סביר להניח כי האופן בו כל אחד משירותים אלה מטפלים בהרשאות עם כתובות URL מקוצר, אך אם נתת בטעות גישה מרחוק לפליקר, תמונות Google, Google Drive, טוויטר, פייסבוק או פוסט אחר, קשה לדעת מה יהיה קורה.

אם ניתנת לך האפשרות לקצר כתובת אתר עם אסימון שאורך יותר משש או שבע תווים, עליך לקחת אותה. החוקרים אמרו בעיתונם כי אסימוני האורך של 11 ו -12 תווים המשמשים את מפות Google אינם בכוח (לפחות עם טכנולוגיה עדכנית וכמות מאמץ סבירה), כך שכוונה לפחות ל 10 היא ככל הנראה טובה רעיון.

או רק צור מקצר URL משלך היתרונות של הגדרת מקצר כתובת אתר משלך וכיצד לעשות זאתבעולם של 140 תווים, ופרקי תשומת לב קצרים, אתה צריך לקבל כמה שיותר טקסט בסטטוס שלך בטוויטר, אם אתה מתכוון להעביר את המסר שלך ביעילות. קרא עוד וודא שהוא משתמש מספיק בתווים באסימוני ה- URL שלו!

האם אתה משתמש במקצרי URL?

נראה כי שירותי קיצור גוברים בפופולריות, כששירותים חדשים צצים באופן קבוע. מגבלת 140 התווים של טוויטר והקושי של עבודה עם מחרוזות טקסט ארוכות במכשירים ניידים מקצר כתובות אתרים הוא הסכין השוויצרית של שיתוף קישורים וחיסכון באנדרואידמה שמבדיל את קיצור ה- URL הוא כמה קל לך לשמור קישורים, להעתיק אותם ללוח או לשתף אותם ישירות מתפריט. קרא עוד ככל הנראה תרמו לשימושיותם, והיכולת לשלוח קישור במתכונת הרבה יותר ידידותית לצפייה בהחלט מושכת. אין ויכוח שהם נוחים מאוד, אך ייתכן שהנוחות לא שווה את הסיכון.

האם אתה משתמש בשירות קיצור כתובות אתרים? באיזה מהם אתה משתמש? האם אתה משתמש בו למסמכים רגישים, או סתם לקישורים נגישים לציבור? האם אתה מודאג כעת מאבטחת הקישורים שלך? שתף את המחשבות שלך למטה!

נקודות זכות: ג'ורג'ייב ושמטיקוב דרך arXiv.

דן הוא אסטרטגיית תוכן ויועץ שיווקי המסייע לחברות לייצר ביקוש ומובילים. הוא גם מבלוג על אסטרטגיה ושיווק תוכן ב- dannalbright.com.