Как стать автором
Обновить
92.8

Чужие сокращатели URL — абсолютное зло. Свой лучше

Время на прочтение3 мин
Количество просмотров9.1K


Что такое сокращатель URL? Это по сути шифратор ссылок, который скрывает от получателя истинный адрес ресурса. Кому нужно маскировать свои ссылки и прятать истинный адрес? Ясно кому: мошенникам, злоумышленникам и компаниям, у которых URL не помещается на визитку.

В последнее время многие облачные сервисы напрямую интегрировали сокращатели ссылок: например, Google Maps, Microsoft OneDrive дают ссылки на 1drv.ms и goo.gl с коротким токеном. Раньше некоторые сокращалки выдавали токен из 5-6 символов, но потом осознали свою ошибку. Проблема в том, что пространство таких токенов настолько маленькое, что его можно просканировать брутфорсом (см. работу Мартина Георгиева и Виталия Шматикова из Корнелльского технологического университета, arXiv:1604.02734v1). А ведь пять символов — это всего 625 вариантов, а шесть символов — 626, тоже не очень много (56,8 млрд). Такая секретная ссылка — больше не секретная.

Это далеко не единственная причина, почему следует избегать чужих сокращателей.

Сначала пару слов и мифах, в которые верят люди. Эта ложная информация подталкивает некоторых пользователей к использованию сокращателей.

Мифы о сокращателях


Миф об экономии символов в твите


Один из древнейших мифов. На самом деле, используя внешний сокращатель, вы делаете совершенно необязательную и ненужную работу. В наше время все платформы автоматически сокращают все ссылки, см. справку Twitter и LinkedIn.

Тем самым платформы угрожают своей безопасности и пользователям, но это уже другой вопрос. В любом случае, лучше не публиковать ничего в открытом доступе. Но если вы всё-таки вынуждены совершить какие-то действия в социальных сетях, то внешний сокращатель ссылок точно ни к чему.

Миф об аналитике


Некоторые сокращатели ссылок предлагают пользователям богатую аналитику по количеству переходов и другую статистику. Но там нет ничего, что бы вы сами не смогли получить, используя бесплатные опенсорсные сервисы для аналитики на своём хостинге, а также данные соцсети. Социальная сеть сама вам расскажет, сколько раз перешли по ссылке и какой у неё CTR.

Если вы ведёте бизнес в соцсети и действительно хотите получить более продвинутую аналитику, то лучше использовать трекинговые модули UTM (Urchin Tracking Modules), а не на сокращатели ссылок:



Проблемы сокращателей


Ноль приватности


У вас нет способа контролировать чужой сокращатель. Некоторые из них ведут себя не совсем корректно. Например, устанавливают следящую куку на ваше устройство для дальнейшего отслеживания действий в интернете. Это нормальная практика, так же делают Google, Facebook и другие сайты, зарабатывающие на персональном таргетинге рекламы. Для эффективного таргетинга рекламы им нужно собрать подробное досье на каждого человека.

Ноль смысла


В сокращённом URL — бессмысленный набор символов, который практически невозможно запомнить. Он ничего не говорит о настоящем адресе, о названии сайта и о странице, на которую ссылается. И его вряд ли можно ввести вручную, по памяти, или продиктовать по телефону.

Битые ссылки


Если сокращатель выходит из строя, то ваши ссылки становятся недоступны. Если вы пользовались только одним сокращателем для всех ссылок, то все они одномоментно выходят из строя!

Думаете, такого никогда не произойдёт? Взгляните на список умерших сокращателей!

Свой сокращатель


Так что лучше избегать сторонних сервисов, а в случае необходимости написать свой собственный сокращатель и запустить его на своём сервере. Например, у известного программиста и евангелиста Григория Бакунова это заняло 40 минут. Впоследствии Григорий отдал проект компании «Яндекс».

Запустить сокращатель — действительно проще простого. Его можно настроить даже в облаке. Например, инстанс в S3 может работать как движок редиректа. Или любой другой хостинг. Просто для каждого короткого URL создаёте объект с редиректом на целевой URL, вот и всё. Если нужна аналитика, то придётся постараться, но в базовой функциональности нет ничего сложного.

Все свои длинные ссылки можно обработать собственным сокращателем. Хотя это не избавляет от некоторых проблем с потерей смысла, но и угроз безопасности намного меньше, чем с внешним сокращателем. То есть свой сокращатель — просто меньшее зло.

Так или иначе, но сокращатели ссылок в целом — это лишний уровень абстракции, увеличение поверхности атаки: перехват и подмена ссылок, фишинг, трекинговые куки, непредсказуемый URL.

Хотя любые недостатки можно превратить в преимущества. Например, сокращатель позволяет изменить URL для ссылок NSFW, чтобы передать их товарищу в чате. Есть сокращатель для ребрендинга. Кто-то любит шутки и приколы. Бывают не сокращатели, а удлинители ссылок. А если запустить свой собственный сервис, то пространство возможных шуток расширяется на порядок. Некоторые люди на многое готовы ради «лулзов» — в этом же «весь смысл».



Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Сколько времени у вас займёт запустить свой сокращатель ссылок, если он понадобится?
22.41% До 1 часа52
43.97% От 1 до 24 часов102
17.67% Больше 24 часов41
15.95% Я не смогу37
Проголосовали 232 пользователя. Воздержались 56 пользователей.
Теги:
Хабы:
Всего голосов 16: ↑7 и ↓9+5
Комментарии24

Публикации

Информация

Сайт
www.globalsign.com
Дата регистрации
Дата основания
1996
Численность
501–1 000 человек
Местоположение
Япония