Zkracovače URL mohou být zásadní bezpečnostní problém

Zkrácení adresy znamená, že stačí prostě dostatečně trpělivě zkoušet a získáte přístup kam jste nikdy neměli. Například.

Pokud ukládáte v cloudu nějaké dokumenty a přístup k nim zprostředkováváte přes zkracovače (goo.gl, bit.ly, atd), tak to zvažte Váš „neveřejný“ odkaz je velmi málo neveřejný, stačí trpělivě zkoušet kombinace znaků a zkracovač přivede k něčemu, co nikdy nemělo být veřejné.

Podle Gone in Six Characters: Short URLs Considered Harmful for Cloud Services (PDF) se problém zkracovačů dotýká nejenom dokumentů uložených v cloudu, ale třeba i zkrácených odkazů na mapy a řady dalších případů. Uvedená studie se sice hlavně týká OneDrive a Map Google, ale principy se vztahují na všechny online služby, ke kterým je možné přistupovat přes zkrácené adresy.

Studie vychází z prozkoumání 100 milionů adres zkrácených přes bit.ly do šestiznakové podoby, podobného počtu u sedmiznakové podoby a zkrácených adres přes goo.gl, který dokonce používal pěti znakovou podobu pro Mapy. Výzkumníkům se tak například povedlo najít na 23 milionů odkazů na Mapy Google, z nichž 10 procent byly uschované informace o tom jak se dostat odněkud někam. Řada z nich navíc byly svázána s konkrétními účty u Google a tím i dalším potenciální hrozbou.

Google na základě výše uvedené studie rozšířil počet znaků používaných pro zkrácený „kód“ na 11 či 12 znaků. Případně automatizované prohledávání zkrácených adres pro Mapy Google je tak sice obtížnější, ale zdaleka ne nemožné.

Ze zkoumaní bit.ly vyplynulo, že 42 % šestiznakových zkrácených adres vedlo na konkrétní adresy, necelých dvacet tisíc přímo na OneDrive složky a soubory, většina z nich stále přístupných. U sedmiznakových adres byla úspěšnost 29 % a přes 47 tisíc jich vedlo na OneDrive s více než 35 tisící stále ukazujícím na živý obsah. Co navíc, bit.ly nevytváří zcela náhodné adresy, takže případné hledání může být zjednodušeno.

Na konci zkoumání se podařilo získat přístup k více než 1.3 milionů souborů na OneDrive ve volně dostupné podobě. Stejně tak se podařilo narazit na řadu odkazů do Google Drive. Tady výzkumníci upozorňují, že je běžně možné narazit na zapisovatelné složky v cloudových úložištích, což přináší další poměrně zásadní bezpečnostní riziko.

Rizika z použití zkracovačů vedla Microsoft a další poskytovatele úložišť k odstranění přímé podpory zkracovačů. Uživatelé ale zkracovače samozřejmě stále mohou využívat přímo. Měli by ale mít na paměti, že zkracovat není cesta jak bezpečně dát přístup k nějakým souborů – to že ho nikdo „nemůže uhodnout“ neznamená, že není odhalitelný strojově.

TIP: Zkracovače a jejich (ne)používání řeší @365tipů v Zkracovače adres a kdy je používat. A proč je spíš nepoužívat.  Velmi užitečný je i tip Vypněte si zbytečná zkracování odkazů či doplňování sledovacích UTM (a jiných) parametrů, kde bohužel často narazíte na to, že některé služby pro správu sociálních sítí svéhlavě zkracují (například Hootsuite).