kreizihorse - Fotolia

F

Wie gefährden verkürzte URLs die Sicherheit?

Verkürzte URLs sind für Anwender wie Anwendungen eine feine Sache, erleichtern sie doch den Umgang mit komplexen Links. Sie können aber auch ein Einfallstor für Angreifer sein.

Führt das Verkürzen von URLs auf sechs Zeichen zu Sicherheitsproblemen? Bieten lange URLs mehr Sicherheit?

Verkürzte URLs sind im Hinblick auf den Anwenderkomfort entwickelt worden, nicht aus Sicherheitsaspekten. Häufig enthalten sie eine Domain und fünf oder sechs Zeichen. Lange URLs mit 100 oder mehr Zeichen kann sich niemand merken. Diese werden dann beispielsweise über die Zwischenablage aus einer E-Mail ins Adressfeld des Browsers kopiert, wenn sie nicht direkt klickbar sind. Auch beim Messaging oder Social-Media-Anwendungen erhöhen verkürzte URLs den Komfort für die Anwender. Und selbst wenn die Links mal nicht kopier- oder klickbar sind, lassen sich Kurz-URLs leichter merken oder auch abtippen.

Verkürzte URLs kommen häufig dann zum Einsatz, wenn mehrere Nutzer gemeinsam einem Dokument arbeiten, beispielsweise bei Google Docs, und dieses für weitere Anwender freigeben wollen. Diese können dann auf Google Text oder Tabellen per Desktop, Smartphone oder Tablet zugreifen. Ein Kennwort, um auf diese Datei zugreifen zu können, ist dann nicht mehr vonnöten. Das klappt natürlich auch mit allen anderen Informationen, die man teilen möchte, etwa Standorte über entsprechende Kartendienste.

Angreifer können sich Kurz-URLs mithilfe von Brute-Force-Methoden zunutze machen. Entdeckt der Angreifer eine reale Kurz-URL, erhält er unter Umständen schreibenden Zugriff auf ein Dokument und kann so etwa Malware in Office-Dateien einschleusen. Dies eröffnet ihm nachfolgend weitere Möglichkeiten. Wie wahrscheinlich derartige Angriffe sind, sei dahingestellt, prinzipiell besteht aber hier ein Sicherheitsrisiko.

Microsoft OneDrive und Google Drive gehören zu den sehr populären Cloud-Speichern, die lange URLs erzeugen. Je nach Einstellung werden die dort abgelegten Dateien automatisch mit allen Geräten des Nutzers synchronisiert. Das können dann natürlich auch Dateien sein, die von Angreifern manipuliert worden sind (siehe auch Sicherheitsrisiko Cloud-Verzeichnisse).

Seit September 2015 enthält der Token von neu erstellten Kurz-URLs bei Google Maps elf oder zwölf Zeichen. Dies macht es für Angreifer etwas schwieriger und zeitaufwendiger, die URLs per Brute-Force-Methode zu scannen, um eine entsprechende URL zu entdecken und damit an den darin verlinkten Inhalt zu gelangen. Microsoft hat im März 2016 die Funktion der verkürzten Links aus OneDrive entfernt. Unternehmen wie Anwender sollten bei der Freigabe oder Weitergabe von Dateien in jedem Fall lange URLs verwenden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kurz-URLs als Datenschutz- und Sicherheitsrisiko

Schädliche Links in gekürzten URLs

Sicherheitsrisiko synchronisierte Cloud-Verzeichnisse

 

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Social-Media-Sicherheitsrisiken und Echtzeit-Kommunikationssicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close