URL-verkorting waanzin komt met beveiligingsrisico's

De opties voor het verkorten van lange URL's tot een meer beheersbare lengte nemen snel toe met zowel Google als Facebook die in het koppelverkortingsspel stappen. De verkorte URL's zijn gemakkelijker te verzenden via e-mail en ze zijn een vereiste voor de beperking van 140 tekens van Twitter, maar ze introduceren ook beveiligingsrisico's.

Een behoefte invullen

Sommige URL's - met name op sites zoals Amazon, YouTube en eBay - kunnen uitzonderlijk lang zijn. U hebt waarschijnlijk een e-mail verzonden of ontvangen met een zeer lange URL-koppeling die is verbroken omdat deze naar de volgende regel is overgedragen. Vervolgens moet u de verschillende delen van de URL handmatig in de adresbalk van uw webbrowser kopiëren en plakken om naar de bestemming te gaan. Niet zo handig, op zijn zachtst gezegd.

Diensten als TinyURL kwamen langs om dit probleem op te lossen door een kortere alias-URL toe te wijzen. Met behulp van TinyURL wordt de URL //www.pcworld.com/businesscenter/article/184608/report_atandt_reputation_tarnished_by_iphone_flaws.html //tinyurl.com/yae8pvp. TinyURL verkleint de 108-karakterige URL naar een veel minder omslachtige 26 tekens die goed passen in e-mails en tweets.

Exploiteren van vertrouwen

Er zijn twee hoofdproblemen bij het verkorten van koppelingen. Ten eerste maken ze het eenvoudiger voor aanvallers om spam- en phishing-aanvallen te verspreiden omdat de daadwerkelijke bestemmings-URL niet wordt weergegeven. Ten tweede, omdat koppelingsinkeping vaak wordt gebruikt met sociale netwerkservices zoals Facebook en Twitter, is er een inherent vertrouwen dat de link legitiem is.

Wanneer ik de bovenstaande link in zijn geheel ontvang, kan ik gemakkelijk zien dat de daadwerkelijke bestemming domein is pcworld.com - vooral als ik de Internet Explorer 8-browser gebruik die het ware domein markeert als een verdediging tegen valse sites en phishing-aanvallen. De alias TinyURL vertelt me ​​niets over de bestemming en kan me leiden naar een kwaadwillende website.

Aanvallers kunnen ook veel beveiligingsopties omzeilen door URL-verkortingsservices te gebruiken. De URL-verkortende domeinen worden standaard vertrouwd door firewalls, webfilters en spamblokkeringstools, waardoor het moeilijker wordt om koppelingen te identificeren en uit te schakelen die leiden tot schadelijke bestemmingen.

Achter het gordijn kijken

U moet een manier om te bepalen waar die ingekorte URL je naar toe zal leiden voordat je erop klikt, zodat je niet het slachtoffer wordt van een drive-by download en je pc onderdeel wordt van een botnet. Gelukkig zijn er hulpmiddelen beschikbaar om daarmee te helpen.

Twitter-gebruikers kunnen tools zoals Tweetdeck gebruiken. Tweetdeck heeft een optie in de instellingen voor Toon voorbeeldinformatie voor korte URL's . Als deze instelling is ingeschakeld en u klikt op een verkorte URL in een tweet, wordt een scherm weergegeven met de titel van de daadwerkelijke bestemmingspagina en de volledige URL.

Er zijn andere browserinvoegtoepassingen en diensten die een vergelijkbare functie buiten Twitter vervullen. TinyURL biedt een optie om voorbeelden in te schakelen. U moet echter wel cookies hebben ingeschakeld om de TinyURL-previews te laten werken. ExpandMyURL en LongURLGeef beide webbrowserinvoegtoepassingen of applets die u kunt gebruiken om de volledige URL achter de verkorte link ook te vinden.

Misschien is het beste nieuws uit de recente razernij van URL-verkortende koppen de toevoeging van Bit. Ly Pro. Met Bit.Ly Pro kunnen bedrijven, blogs en andere entiteiten zich aanmelden voor aangepaste verkorte domeinen die hen in staat stellen om verkorte URL's te gebruiken terwijl ze een unieke en veilige identiteit behouden.

URL-verkorting is een nuttige en handige service die hier is om blijven. Zorg ervoor dat u gezond verstand uitoefent en een beetje voorzichtig bent om niet te worden uitgebuit door een verkorte URL.

Tony Bradley tweets als @PCSecurityNews, en kan gecontacteerd worden op zijn Facebook-pagina.