• Versioni di prova e download
  • Prodotti per utenza domestica/ufficio domestico
  • Prodotti per aziende di piccole/medie dimensioni e per imprese
  • Malware Cleaner
  • Programmi di installazione
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Informazioni su Norman
  • Vision e valori
  • Gruppo dirigente
  • La tecnologia Norman
  • Riconoscimenti e certificazioni
  • Casi del cliente
  • Sala stampa
  • Eventi
  • Lavora con noi
  • Registrazione alla mailing list
  • Contatti

Centro di sicurezza

URL facili: buona o cattiva idea?

2009-07-03 [Discussione sui malware, Meccanismi di diffusione, Social engineering, Tendenze e previsioni]

   Week 16, 2009

Introduzione

Gli URL (Uniform Resource Locator) sono elementi cruciali per l'uso di Internet. Specificano se una risorsa Internet è disponibile e come accedervi.

L'URL http://www.norman.com/technology/norman_sandbox/54570/en, ad esempio, indica che la specifica risorsa Internet technology/norman_sandbox/54570/en risiede nel computer www all'interno del dominio norman.com. Per accedere a tale risorsa occorre utilizzare il metodo http (hypertext transfer protocol: protocollo di trasferimento di un ipertesto), sistema normalmente impiegato per l'esplorazione Web e il più diffuso in Internet.

Poiché le informazioni disponibili su Internet aumentano costantemente e la loro pubblicazione è divenuta relativamente automatica, gli URL possono essere spesso lunghi, complessi e oscuri. Sono scomodi da scrivere, pertanto la presenza di link, che permettono di accedere a una risorsa semplicemente facendo clic su un URL, è piuttosto utile. 

Twitter e il boom dei fornitori di URL brevi

Il problema di dover digitare manualmente gli URL è risolto dai link.  Ma ciò non toglie che debbano esserci informazioni circa l'URL dietro il link visualizzato. E questo costituisce un problema quando i caratteri a disposizione sono pochi, come nel caso di alcuni social network. Uno di questi è Twitter, che consente un massimo di 140 caratteri per ciascun messaggio. L'URL riportato sopra contenente informazioni sulla tecnologia SandBox di Norman riempie un terzo dei caratteri disponibili.

Inserire fornitori di URL brevi che hanno avuto un boom in seguito alla crescita di Twitter e di altri social network che consentono di inviare solo messaggi di lunghezza limitata.

Alcuni dei fornitori di funzionalità di accorciamento degli URL sono:

• Metamark
• TinyURL.com
• ShortURL.com
• bit.ly
• Cligs
• is.gd

Funzionamento degli URL brevi

Per sintetizzare, i fornitori di URL brevi offrono uno schema di traduzione da un URL corto e semplice a una destinazione URL più lunga e complessa. Questa traduzione è eseguita da loro.

Si tratta ovviamente di una funzionalità utile e interessante a prima vista. Ma, come vedremo, nasconde delle insidie per la sicurezza.

Problemi relativi alla sicurezza: due diversi tipi

L'utilizzo della funzionalità di URL breve comporta almeno due diversi tipi di problemi relativi alla sicurezza.

Vulnerabilità dei fornitori di URL brevi

Questa rappresenta l'insidia alla sicurezza più seria.

Se il sistema stesso viene in qualche modo compromesso, le conseguenze possono essere gravi. Un operatore interno al fornitore di URL brevi o un hacker esterno potrebbe modificare il sistema in modo che la "traduzione" degli URL non contenga quello che intendeva l'utente, ma invii piuttosto l'ignaro navigatore che faccia clic sull'URL breve a siti Web con contenuti dannosi (caso peggiore).

E non si tratta di uno scenario semplicemente teorico:

il 15 giugno 2009, un fornitore di URL brevi, Clig, è stato oggetto di un attacco di pirateria informatica. Il caso è stato riportato sul blog del sito Web della società. Ciò ha interessato circa 2 milioni di URL brevi, che in seguito all'attacco puntavano a una destinazione diversa da quella designata.

Problemi di sicurezza causati da utenti malintenzionati

Questo tipo di problema può verificarsi se non tutti gli utenti del sistema sono onesti. Benché i fornitori di URL brevi possano disporre di sistemi in grado di controllare le pagine Web a cui fanno riferimento gli URL brevi, tali sistemi non sono mai sicuri al 100%. I creatori di URL brevi possono fare in modo che questi rimandino a siti Web maligni o che generano dei guadagni per loro in base alla quantità di utenti che vi accedono provenendo da un determinato URL.

Carenze insite nel sistema

Normalmente, se si passa con il puntatore del mouse su un link, ne viene visualizzata la destinazione. In base a ciò, l'utente può decidere se fare clic o meno.

Questa funzionalità aggiuntiva non è disponibile con gli URL brevi.

Riepilogo

Gli URL brevi presentano ovviamente dei vantaggi. Tuttavia, hanno anche delle carenze, che incidono sul loro grado di sicurezza.

 

• Privacy di Norman
• Contratto di licenza [EN]
• Marchi
• Mappa del sito
• Contatti

© Norman ASA