Short-URLs sind in den letzten Jahren zu einem festen Bestandteil des World Wide Web geworden. Dazu beigetragen haben in erster Linie Soziale Netze und das Bedürfnis, Informationen möglichst kompakt weiterzutragen.
Durch einen URL Shortener Service wird es möglich, eine lange Webadresse in eine sehr kurze Adresse zu packen. Die kurze URL kann dann auf einem Dienst wie Twitter gepostet werden, ohne den verfügbaren Speicherplatz durch den langen Link aufzubrauchen. Durch das Klicken auf die Short-URL wird der Benutzer dann transparent zur echten langen URL weitergeleitet.
Das Nutzen von Short-URL Diensten hat jedoch auch gravierende Nachteile, die bisweilen in sicherheitsbezogene Überlegungen miteinfliessen müssen. Hier 10 Gründe, die gegen den Einsatz von Short-URLs sprechen:
- Destination unklar: Eine Short-URL wird verwendet, um auf eine echte URL weiterzuleiten. Anhand der Short-URL selbst, kann kein Rückschluss auf die echte URL gezogen werden. Wird also eine Short-URL erhalten und will auf diese geklickt werden, kann man bis zum Erreichen der finalen URL nicht sicher sein, über welche Zwischensysteme und zu welchem Ziel man geführt wird.
- Einfaches Link-Spoofing: Short-URLs funktionieren mit IDs, die kryptisch daherkommen und oftmals nicht nachvollziehbar sind. Es ist sodann auf den ersten Blick für viele nicht ersichtlich, ob es sich bei http://shorturl.example/d41m um den gleichen Link handelt, wie bei http://shorturl.example/d4lm – Dies eröffnet die Möglichkeit einfaches Link-Spoofings, wie man es von klassischen Phishing-Attacken her kennt.
- Link-Hijacking möglich: Die Dienste für Short-URLs verwendet einen Namensraum für die eindeutige Identifizierung der jeweiligen URLs. Dieser ist naturbedingt begrenzt, um den Anforderungen kurzer URLs gerecht werden zu können. Es ist bei vielen Diensten nicht klar, was nach dem Aufbrauchen des Namensraums mit alten oder lange nicht angeklickten URLs passiert. Diese könnten wiederverwendet werden, wodurch sich ein Link-Hijacking durchsetzen liesse.
- Überwachung durch Dritte: Beim Zugriff auf eine Short-URL wird immer zuerst eine Verbindung zum Anbieter des Dienstes durchgeführt, der in einem weiteren Schritt die Umleitung einleitet. Der Anbieter kann damit in den Besitz sensitiver Daten kommen und umfassende Statistiken zum Verhalten der jeweiligen Besucher anstreben. Im schlimmsten Fall kann er damit die gleiche Menge an Daten sammeln, die der Anbieter der Original-URL ebenfalls zusammentragen könnte.
- Zentraler Angriffspunkt: Die Kompromittierung eines Short-URL Dienstes kann zur automatischen Kompromittierung sämtlicher jemals ersteller und aufgerufener Short-URLs führen. Durch Redirects und Injections könnte Malware verbreitet (via @mylaocoon) oder eine Man-in-the-Middle Attacke angegangen werden.
- Abhängigkeit vom Anbieter: Der Einsatz eines Short-URL Dienstes tangiert das zentrale Konzept des Link-Austauschs im World Wide Web. Eine solche Abhängigkeit kann zu weitreichenden Problemen führen, sollte ein Anbieter plötzlich seine Geschäftsbedingungen ändern oder gar vom Markt verschwinden (Insolvenz, Übernahme, etc.). Jenachdem müsste innert kürzester Zeit eine Vielzahl an Links geändert werden, was sich unter Umständen als nahezu unmöglich gestaltet (z.B. alte Tweets lassen sich nicht mehr ändern).
- Verlust der Brandingmöglichkeit: Eine URL wird von vielen Webmastern als Visitenkarte verstanden. Im Idealfall ist sie prägnant und aussagekräftig zugleich. Werden externe Dienste eingesetzt und damit die eigenen URLs kaskadiert, führt dies zum Verlust einer Brandingmöglichkeit. Eine Adresse wie http://www.scip.ch/?kontakt wirkt bedeutend besser als http://shorturl.example/c1fa
- Verlust der Kredibilität: Mit dem Einsatz einer Short-URL geht stets die Einbusse des professionellen Auftretens einher. Eine eigene Domain macht sich halt noch immer besser, als auf einen libyschen Short-URL Dienst zu setzen. Vor allem deswegen, weil vor allem Malware- und Spam-Verteiler diese Möglichkeit der URL-Kaskadierung für sich entdeckt haben.
- Erhöhung der Komplexität: Durch den Einsatz von Short-URL Diensten wird die Komplexität des Generierens, Verteilens und Nutzens von URLs erhöht. Dies wirkt sich zwangsweise früher oder später beim Debugging von Kommunikationsproblemen aus. Jenachdem wird es dann schwierig die Quelle eines Fehlers eingrenzen zu können.
- Performanceverlust: Der Aufruf einer Short-URL hat in der Regel zur Folge, dass eine Weiterleitung zur echten URL geschieht. Dies ist bei den meisten Diensten durch einen
302 Redirect
per HTTP-Header implementiert. Da dabei zuerst eine Namensauflösung für die Short-URL und die HTTP-Kommunikation zu dieser umgesetzt werden muss, bis zur echten URL weitergeleitet wird, muss mit einem kleinen Ressourcenverbrauch und Performanceverlust gerechnet werden.
Trotz dieser Bedenken setzen wir punktuell Short-URLs ein. Und zwar in erster Linie auf Twitter, um die Zeichenbeschränkung für Tweets einhalten zu können. Andernorts pflegen wir die normalen URLs für unsere Webseite weiterzugeben. Da wir beim Design dieser auf eine kurze und prägnante Struktur geachtet haben, können wir in autonomer Weise sehr effiziente Webadressen bereitstellen.
About the Author
Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)
Links