Новости Новости 15.04.2016 в 15:37 comment

Исследование: сокращенные URL-адреса могут представлять серьёзную угрозу безопасности

author avatar
https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg

Володимир Скрипін

Заместитель главного редактора, руководитель отдела новостей

URL-shortener

Недавнее исследование (PDF) двух экспертов в области информационной безопасности, которое длилось целых 18 месяцев говорит, что сервисы сокращения длинных ссылок, столь часто используемые многими интернет-пользователями, могут представлять собой серьёзную угрозу безопасности.

В ходе исследования Виталий Шматиков из Корнелльского университета и независимый эксперт Мартин Георгиев тщательно проанализировали методы сокращения URL-адресов, используемые Microsoft и Google в сервисах OneDrive и Maps соответственно. Результаты оказались весьма неутешительными. Исследователи отметили, что для создания сокращенных ссылок на файлы в облачном хранилище OneDrive компания Microsoft использует сервис Bitly, а сами ссылки имеют весьма предсказуемую конструкцию. Как утверждается, это существенно облегчает злоумышленникам задачу получения доступа к другим файлам конкретного пользователя методом простого подбора ссылок.

Исследователям удалось не только получить доступ к файлам, содержащим некоторые конфиденциальные данные, но и обнаружить, что лишь небольшая часть этих файлов не была защищена от случайного удаления и изменения содержимого. Именно эта часть файлов, лишенная статуса «только для чтения», была подвержена высокому риску внедрения вредоносного ПО и вирусов.

Что же касается сокращенных ссылок в картографическом сервисе Google Maps, исследователям, как утверждается, удалось расшифровать URL-адреса с пятисимвольными токенами и в точности узнать маршруты и текущее местоположение пользователей.

К счастью, обе компании отреагировали на сообщения исследователей о найденных уязвимостях и внесли соответствующее изменения и используемые сервисами OneDrive и Google Maps методы сокращения ссылок. Как утверждается, компания Google отреагировала очень быстро и внедрила дополнительные меры защиты – функцию защиты от ботов и токены с 11-12 символами. Компания Microsoft была не столь признательной к исследователям. И хотя редмондцы убрали функцию сокращения ссылок из собственного сервиса OneDrive в прошлом месяце, они отрицают связь между своим решением и уязвимостью, найденной исследователями.

Существует несколько способов сделать сокращенные ссылки безопаснее: отказаться от публичных сервисов вроде Bitly в пользу собственных разработок, внедрить защиту от интернет-ботов с помощью решений вроде CAPTCHA, а также разработать надежные API, которые сделают невозможным использование метода подбора для доступа к другим файлам пользователя.

Job Interview Crash Course.
Отримайте 6 шаблонів відповідей на співбесіді, які ви зможете використовувати для структурування своїх відповідей. Отримайте знижку 10% за промокодом ITCENG.
Приєднатися

Источник: TNW

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: