Korte URL’ers sikkerhed

Jeg har tidligere omtalt URL shorteners, som bit.ly, t.co, goo.gl og tinyURL.com (“URL’er er de nye cookies” og “På Googles måde“).

Der er nogle ting der skal overvejes i forbindelse med anvendelse af korte URL’er og skal de anvendes kommercielt er det nødvendige overvejelser.

Kan brugerne bruge dem?

De fleste URL shorteners skaber en URL der ikke alene er kort men også svær at huske. Det kunne f.eks. være “http://wp.me/p13hhA-4i“. Så hvis brugerne skal indtaste adressen fra f.eks. et brev eller en annonce kan der meget nemt snige sig skrivefejl ind.

Vil brugerne bruge dem?

På den anden side er der mulighed for at brugerne, uanset om de har fået den korte URL på mail, SMS, fra et website eller selv skal taste den ind, er usikre på hvad der så vil ske. Ovenstående eksempel fortæller ikke brugeren noget om hvilken side de kommer frem til, hvad indhold der er på den eller sågar hvem der kontroller sidens indhold. Alt sammen noget de ville kunne have en fornemmelse af ud fra den fulde URL, ved hjælp af domæne, stiens navn og den ekstension stien har.

Det vil desuden også være muligt for dem der kontrollerer URL shortener tjenesterne at lave en meget præcis statistik og tracking af hvilke brugere der klikker på hvilke links. Det er en udbredt udfordring for brugere af internet og spørgsmålet er om det i dag er nok til at afholde nogen fra at bruge bestemte tjenester.

Desuden vil en kort URL også give en smule langsommere visning af den side der ønskes vist idet brugerens browser først skal omkring en anden tjeneste for derefter at komme til den ønskede side. I det omfang at brugeren skal godkende handlingen bliver det dog til en ganske betydelig forsinkelse og forhindring.

Er tjenesten stabil?

Korte URL’er baserer sig på at en tjeneste man ikke har kontrol med kan levere sin ydelse når der klikkes på linket – at f.eks. bit.ly fungerer lige når brugeren klikker. Disse tjenester fungerer – normalt – men det er ude af ens hænder om de gør det lige når de skal bruges.

Hvor det i øjeblikket kan virke som en meget kortsigtet aktivitet så bliver links gemt, enten aktivt eller ganske enkelt som led i en arkiveringsfunktion. Dermed bliver det også vigtigt at tjenesten fungerer imorgen, om en måned eller om flere år. Hvilke tjenester gør det?

Der er således et afhængighedsforhold til det setup tjenesten anvender, til dens hardware og software. Det giver derfor rimelig god mening at anvende destinationens egen URL shortener hvis det er muligt, f.eks. goo.gl til Google, t.co til Twitter og så videre, idet disse tjenester har en meget stor sandsynlighed for at have samme stabilitet og levetid som destinationen.

For at vende tilbage til bit.ly så har de et afhængigsforhold der strækker videre end hardware og software: De er også afhængige af nic.ly, Libyens top-level domæne register. Hvad nu hvis Libyens regering pludselig besluttede sig for at tage domænet bit.ly retur?

Det skete for vb.ly og det lader til at nic.ly har ændret deres regler og praksis så de nu ikke kun ser på selve registreringen og domænet men også på indholdetvb.ly blev brugt til links til erotisk indhold – og om dette indhold generelt er i overensstemmelse med Libysk lov, herunder Sharia. Derudover er, indtil videre kun for fremtiden, korte domænenavne reserveret til libyske borgere og virksomheder.

Det er selvfølgelig et meget konkret eksempel men tilsvarende eksempler kunne man forestille sig forekom andetsteds i verden. Og hvad ville bit.ly domænenavnet være værd hvis man pludselig tog det “hjem” til sit eget land? Kunne Columbia finde på noget tilsvarende med Twitters t.co?

Hvis man derfor ønsker at anvende en kort URL til sin egen side kan der for en virksomhed være god mening i at have sin egen private URL shortener tjeneste. Enten en der kun kan anvendes fra ens CMS eller hvis man er interesseret i at få flere brugere, en der kan anvendes af alle brugere til at generere et link direkte ind på et vilkårligt sted, eller en vilkårlig tjeneste, på virksomhedens website. Man kunne forholdsvis enkelt lave en tjeneste som fjerner en del af de udfordringer der er beskrevet her.

I et forsøg på at skabe et persistent arkiv over URL’er der er blevet forkortet har Internet Archive startet deres 301works.org projekt. Over tid kan dette blive en lige så vigtig datakilde som The Wayback Machine.

Her er en oversigt over eksisterende offentlige URL shorteners hos Search Engine Land.

Dette indlæg blev udgivet i IT sikkerhed og tagget , , , , . Bogmærk permalinket.

4 svar til Korte URL’ers sikkerhed

  1. Collier siger:

    terrific website. thanks for this excellent write-up. i love a lot.

  2. Pingback: En lille ekstra note om QR (og andre 2D) koder | Hennings blog

  3. Pingback: Forældede domæner | Hennings blog

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s