Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Krótkie adresy URL, duże problemy

Stefan Tanase
Kaspersky Lab Expert
Dodany 4 czerwca 2009, 10:44 CEST

Serwisy oferujące skracanie adresów URL stają się coraz popularniejsze wśród portali społecznościowych, dotyczy to zwłaszcza Twittera. Jeżeli musisz ograniczyć swoją wiadomość do 140 znaków, żadnego z nich nie możesz zmarnować, a umieszczając różnego rodzaju odsyłacze możesz szybko wypełnić całą wiadomość na Twitterze.

Ale na każdy problem można znaleźć rozwiązanie. Pojawiły się serwisy skracające adresy URL, takie jak TinyURL, Is.gd czy Bit.ly, które za darmo oferują krótkie adresy URL przekierowujące na dłuższe. Wszystko pięknie, dopóki nie pojawi się kwestia bezpieczeństwa. Do głowy przychodzi mi kilka problemów.

Pierwszym z nich jest ułatwienie socjotechniki. Tak naprawdę użytkownik nie widzi adresu URL strony, którą chce odwiedzić, a jedynie jego skróconą wersję, która zwykle nie określa, gdzie znajduje się żądana strona. I tak, osoba atakująca może twierdzić, że odsyłacz prowadzi do "ładnych zdjęć z króliczkami", w rzeczywistości jednak odsyła użytkownika na stronę zawierającą szkodniki.

Pojawia się tu również problem niezawodności. Dostępny musi być nie tylko serwer-odbiorca, ale również serwis oferujący krótkie adresy URL. Problemy z niezawodnością TinyURL spowodowały, że Twitter zaczął ostatnio wykorzystywać na Bit.ly.

Problemem może być również zaufanie. Użytkownik wolałby klikać tylko bezpieczne odsyłacze, a tak musi zaufać nie tylko osobie, która wysyła mu odsyłacz, ale również pośrednikowi: serwisowi skracającemu adresy URL.

Same serwisy oferujące skracanie adresów URL zwracają uwagę na kwestie bezpieczeństwa. Cieszę się, że media również zaczynają dostrzegać problem i uświadamiać swoich czytelników: AP opublikował ostatnio artykuł o serwisach oferujących skracanie adresów URL, który porusza również problemy bezpieczeństwa.