将长URL缩短为更易于管理的长度的选项正在迅速增加谷歌和Facebook开始缩短链接游戏。缩短的URL更容易通过电子邮件发送,它们是必需的推特但它们也带来了安全风险。
填补了极品
有些网址——尤其是像亚马逊、Youtube和eBay这样的网站——可能会特别长。您可能已经发送或接收了一封带有非常长的URL链接的电子邮件,该链接已被中断,因为它已转到下一行。然后你必须手动复制并粘贴不同的URL到你的浏览器地址栏,以到达目的地。至少可以说不太方便。
服务,如TinyURL的通过分配一个更短的别名URL来解决这个问题。使用TinyURL的,URLhttp://www.pcworld.com/businesscenter/article/184608/report_atandt_reputation_tarnished_by_iphone_flaws.html就变成了http://tinyurl.com/yae8pvp。TinyURL将108个字符的URL压缩为26个字符,这样就能很好地适合电子邮件和tweet。
利用信任
链接缩短服务存在两个主要问题。首先,它们使攻击者更容易散布垃圾邮件和钓鱼攻击,因为实际的目的地URL没有显示出来。第二,因为链接缩短经常用于社交网络服务,比如脸谱网和Twitter,还有该链接将是合法的固有的信任。
当我完整地收到上面的链接时,我可以很容易地看到实际的目的地域名是pcworld.com——特别是如果我使用的是Internet Explorer 8浏览器,它强调了真正的域名作为防御欺骗网站和钓鱼攻击。然而,TinyURL别名没有告诉我任何关于目的地的信息,并可能将我引向一个恶意网站。
攻击者还可以通过使用URL缩短服务来绕过许多安全控制。网址缩短域名默认受防火墙、网络过滤器和垃圾邮件拦截工具的信任,这使得识别和清除指向恶意目的地的链接变得更加困难。
看窗帘后面
在你点击它之前,你需要有一种方法来确定这个简短的URL将会把你带到哪里,以免你发现自己成为某种驱动下载的受害者,你的电脑成为僵尸网络的一部分。值得庆幸的是,有一些工具可以帮助解决这个问题。
Twitter用户可以使用Tweetdeck这样的工具。Tweetdeck在设置中有一个选项可以显示短网址的预览信息。启用此设置后,当你点击推文中的短网址时,屏幕将显示实际目的页面的标题,以及完整的网址。
在Twitter之外,还有其他浏览器插件和服务执行类似的功能。TinyURL提供了一个选项启用预览。您必须对TinyURL的预览工作能饼干,虽然。ExpandMyURL和LongURLPlease两者都提供了Web浏览器插件或applet,您也可以使用它们来发现缩短链接背后的完整URL。
从最近的网址缩短热潮中,最好的消息可能是添加一些。Ly职业。与一些。Ly职业, companies, blogs, and other entities can sign up for custom shortened domains that enable them to use shortened URL's while maintaining a unique and secure identity.
网址缩短是一项有用而又方便的服务。只要确保你运用一些常识和谨慎的怀疑,以避免被一个简短的URL利用。
托尼·布拉德利在推特上写道@PCSecurityNews,可以通过his联系Facebook页面。
这篇文章,“网址缩短热潮带来的安全风险”最初发表于PCWorld的这个清单 。