立即捐款

週三 2011-07-06 麥當勞

短網址嘅保安風險

A A A
短網址嘅保安風險

依家電腦網絡流行微博,香港獨立媒體都用咗 twitter 廣播 71 嘅消息,而微博內容精短,短網址就都處都係。短網址嘅保安風險事宜並唔係新嘅學術研究,而我亦唔係專家,但作為微博嘅使用者,呢個問題避已經無可避。

首先,講講短網址令使用者面對乜野風險:

  • 來歷不明嘅網址:短網址嘅好處係將長長嘅網址收埋,但同時亦可以將來歷不明嘅網址收埋。短網址伺服器好多時都會提供方法畀使用者預先知道原有網址內容,但係,第一,個個伺服器嘅方法都唔同,有啲放個「+」或「?」喺短網址後面,有啲要用唔同嘅網址(例如 http://preview.tinyurl.com/XXXXXX),家下有咁多個短網址伺服器,邊度背得咁多(好彩,有longurlplease幫手)?第二,如果你用電話上 twitter,你會唔會逐一驗查先?
  • 來歷不明嘅網址有乜問題?實在數不勝數,但最經典嘅應該係個幾月前,據聞有 gmail 戶口被人 crack 咗。當然,單單點中可疑網址唔一定會令你 email 被盜 [參考 2],但係配合到系統漏洞,就分分鐘可以秒殺。事實上用 adobe flash 而夠膽一個月都唔 update 一次嘅人又真係好多。有片自己睇: http://www.youtube.com/watch?v=CCq52MnnC4U
  • 其實短網址伺服器都好努力阻止高危有害或可疑嘅短網址嘅使用。我高興有人做研究去睇短網址伺服器現成有某兩類有害網頁[參考 1],但係,如果使用者無預先查看網址內容就睇落去,中咗釣魚網站或有古惑 XSS 網站都唔知道。事實上,用 noscript 插件(或其他減少 XSS 傷害嘅插件)上網嘅人都好少數。
  • 比較少人留意嘅係,短網址伺服器,甚至短網址製造者亦可能追踪使用者嘅使用習慣,例如短網址製造者可以响原有網址加入 HTTP referrer,令短網址伺服器與原有網址伺服器知道係「邊個」介紹使用者進入。具體內容請細閱 [參考 1]

之後我再介紹以「安全」宣傳嘅短網址伺服器。有個電腦病毒防護公司都推出咗短網址服務,我自己都有用。我先講講佢(McAfee)話佢可以保護乜野:

  • 惡意程式
  • 電腦病毒

的確,惡意程式同電腦病毒都係互聯網嘅重要危害,但係,呢兩個並唔係短網址主要危害。短網址主要危害始終係:釣魚網站(我估計 McAfee 都可以防止,但最好係從瀏覧器上開始阻止),系統缺陷(例如 adobe 上述問題),XSS 攻擊與及私隱問題,我估計 McAfee 無乜野可以做。

所謂盡信書不如無書,如果大家以為一有咗「McAfee」個標誌就可以信賴,唔需要自己判斷,咁就大錯特錯。例如陳大文部落(注意係短網址,但可以去 mcafee 反查原網址)就一度被 McAfee 視為高危嘅色情網站,用咗 McAfee 短網址就入唔到。近來 McAfee 已經畀使用者入去陳大文部落,但上面仍然有「Categories: Pornography」的標題,唔知係唔係陳大文嘅仇家特別多咯。

另外短網址有「短上短」,呢個亦加重短網址服務者檢查短網址嘅困難(私隱風險當然亦增加了)。所謂「短上短」,以圖中「http://t.co/8TWFZhf」為例,其實佢原本係「is.gd/KI21Uv」,但係,呢個都唔係真身,唯色個網址先至係真身(蝦,終於都知道係可靠嘞)。咁樣,twitter 要知道個網址有無問題,是否真誠可靠就唔係咁容易啦(嗱嗱嗱,佢係專家,我唔係,可能佢有啲秘方我唔識攞)。相同嘅問題,當然一樣會出現喺其他短網址提供者手上。好彩,主流短網址提供者都知道「短上短」係好危險嘅,有政策禁止唔俾咁做。

雖然有短網址服務可以阻止互聯網電腦病毒與及惡意,短網址嘅原有風險始終無法消除。所以,最基礎嘅方法係唔好用。

  • 如果你用 plurk 嘅話,你可以回覆你自己,喺回覆中加入原有網址。在原噗講明,原有網址會列入回覆之中
  • 如果你用 twitter,老實講,我暫時唸唔到有乜好方法。Twitter 自己都有短網址服務,但我唔敢膽博膽(但我又唔知 twitter 個方法係唔係唔得,只係唔知佢可以用乜方法檢查「短上短」,唯有用 longurlplease 去預先查看原網址)

遇到有需要用短網址嗰陣,為咗短網址衛生:

  • 除非你引述其他人講嘢(RT 或 RP),否則,千祈唔好轉載由其他人製造嘅短網址。當你貼一條短網址,你要確保條短網址係你製造嘅,而且你親身試過,你要知道負責任。
  • 對於唔肯堅守上述原則嘅人,又或者你唔知對方乜頭乜路,千祈唔好直接開佢地嘅短網址,一定要預先查看。記住 [考參 2] 個故仔,遇上其他系統缺漏,一噤即瓜。

參考:
[1] Security and Privacy Implications of URL Shortening Services
http://w2spconf.com/2011/papers/urlShortening.pdf

[2] 點樣利用 Abode 產品缺陷和 XSS 攻擊,令你個 gmail 授權畀其他人
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-2107
http://www.adobe.com/support/security/bulletins/apsb11-13.html
http://www.youtube.com/watch?v=CCq52MnnC4U

[3] 後來加一點,有關 http://longurl.com 使用。舉例(請點擊)

Internetcomputer securityURLURL shortenermicroblogging