Что такое сокращатель URL? Это по сути шифратор ссылок, который скрывает от получателя истинный адрес ресурса. Кому нужно маскировать свои ссылки и прятать истинный адрес? Ясно кому: мошенникам, злоумышленникам и компаниям, у которых URL не помещается на визитку.
В последнее время многие облачные сервисы напрямую интегрировали сокращатели ссылок: например, Google Maps, Microsoft OneDrive дают ссылки на
1drv.ms
и
goo.gl
с коротким токеном. Раньше некоторые сокращалки выдавали токен из 5-6 символов, но потом осознали свою ошибку. Проблема в том, что пространство таких токенов настолько маленькое, что его можно просканировать брутфорсом (см.
работу Мартина Георгиева и Виталия Шматикова из Корнелльского технологического университета, arXiv:1604.02734v1). А ведь пять символов — это всего 62
5 вариантов, а шесть символов — 62
6, тоже не очень много (56,8 млрд). Такая секретная ссылка — больше не секретная.
Это далеко не единственная причина, почему следует избегать
чужих сокращателей.