Tech

Veszélyesek a rövidített webcímek

Bátky Zoltán
Rátfai Gábor
Bátky Zoltán, Rátfai Gábor

2016. 04. 18. 11:00

Persze, sokkal jobb egy pár karakteres címecske, mint valami kilométeres hivatkozás, csak az a baj, hogy a kényelmes rövidítéseket rosszakarók is felhasználhatják.

Az internet rendkívül csodás jószág, hiszen csak bepötyögünk néhány karaktert a böngészősávba, vagy a Google-be, és máris végtelen mennyiségben ömlik ránk a tartalom, de ha nem figyelünk oda, akkor a hasznos dolgokkal együtt a kártékonyaknak is ajtót nyitunk, és ez már egyáltalán nem mulatságos. Az egyik ilyen fenyegetettséget egy olyan funkció hordozza, ami alapjában véve teljesen ártalmatlan, ám a kényelmi szolgáltatást könnyen ki is használhatják illetéktelenek.

Adott ugyebár az URL – ez gyakorlatilag a webhelyek címe, mint például a http://24.hu. Ez idáig még egész kezelhető, beírjuk a böngészőbe, és hopp, már ott is vagyunk az oldalon. De mi van, ha egy olyan aloldalt keresünk, aminek már jóval hosszabb a címe, például ezt a cikket. Itt a teljes URL ugyebár http://24.hu/tech/2016/04/18/veszelyesek-a-roviditett-webcimek. Ha mondjuk megosztanánk ezt Twitteren, ahol egyelőre minden karakter számít, a hosszú cím mellett már alig jutna időnk pár szót írni – ezért találták ki az URL rövidítő szolgáltatásokat. Ilyen például a bit.ly, amelybe elég beírni ezt a hosszú URL-t, és máris kapunk egy töpörítettet, jelen esetben ezt: http://bit.ly/23Qi7Zb. Ugyanerre a cikkre mutat, mégis kevesebb, mint feleannyi karakter. Kényelmes, ugye? Naná.

Viszont a helyzet az, hogy ezek a kényelmes rövidítések könnyen okozhatnak kellemetlen meglepetéseket, mégpedig úgy, hogy személyes adataink kerülnek veszélybe. Két biztonsági szakértő, Martin Georgiev és Vitalij Shmatikov nézett utána egy kicsit a dolognak, és azt fedezték fel, hogy a bit.ly mellett akár olyan cégek is a csalók célkeresztjébe kerülhetnek, mint a Google vagy a Microsoft, akik szintén kínálnak URL-rövidítési lehetőségeket.

A két szakértő egyrészt azt vizsgálta meg, hogy miket osztanak meg az emberek ilyen tömörítéssel. Persze, sokan csak a fenti példához hasonló, hosszú címmel ellátott weboldalakat, de bizony van jó néhány felhasználó, aki fogja magát, feltölt valamilyen fontos céges dokumentumot, pucér fotót, vagy épp a banki adatait tartalmazó fájlt a netre, és egy ilyen rövidítővel ellátott linket ad hozzá. Mondjuk valaki szeretné villámgyorsan átküldeni a bankszámlája adatait egy kollégájának, felcsapkodja az információt tároló fájlt Google Drive-ba, majd kér hozzá egy pár karakteres jelszót, és átküldi.

Na, ilyet ne csináljon soha.

Ugyanis Georgiev és Shmatikov elkezdett azzal kísérletezni, hogy egy ilyen rövidített URL-ben véletlenszerűen elkezdtek megváltoztatni egy-két betűt vagy számot, és megnézték, lesz-e valami az út végén. Mivel egy ilyen rövid karaktersorban nem akad azért olyan sok kombináció, egy csomó hibás link között azért ráakadtak néhány valódi megosztásra – hol titkos(nak hitt) mappákra, hol konkrét fájlokra. Mondjuk mi van akkor, ha a fenti bit.ly/23Qi7Zb helyett azt írjuk be, hogy 23Qi7Zx? Simán lehet, hogy a rövidítő rendszere ezt is kiosztotta már valakinek, és hopp, máris valaki más tulajdonában kutakodhatunk.

A szakértők szerint a Google Drive és a Microsoft OneDrive hozzáférések 7 százaléka van kitéve ennek a veszélynek, legalábbis azok közül, melyeket megvizsgáltak, de ez is elég komoly szám, főleg akkor, ha olyan titkokat őrizget az ember a felhőben, aminek nagyon nem kellene kiszivárognia. Épp ezért az ilyen szolgáltatásokkal kapcsolatban az a legjobb tanács, ha

csak olyan URL-eket rövidít, amik nem valami titkosra, bizalmasra mutatnak.

Tehát ennek a cikknek a linkjét továbbra is nyugodtan rövidítheti és küldözgetheti, de ha saját bizalmas adatait teszi fel a felhőbe, és nem szeretné, hogy egy ilyen trükközés során véletlenül illetéktelenek is rátaláljanak, ne használjon hozzá rövidítést, sőt, ha lehet, a fájl vagy mappa elérését is kösse jelszóhoz.

vissza a címlapra

Kommentek

Legfrissebb videó mutasd mind

Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.