Comments 31
Сначала даже не понял зачем им брутфорсить google maps, но по итогу выходит, что можно узнать распорядок человека с высокой точностью. Никогда бы не подумал про эту уязвимость.
Интересно, зачем эти люди сохраняли в картаз гугла свои маршруты и получали на них короткую ссылку?
Что бы потом вбить в навигатор на машине? Или… может при формировании своей карты (например создал и сохранил её) короткие ссылки у гугломепа генерятся автоматом как и у onedrive?
Сомнительно, что машина сама не может построить маршрут, но сможет открыть гуглокарту через короткую ссылку…

Проверил с картами гугла: создал новую карту и тыкнул поделиться, гугл выдал длинную ссылку вида https://www.google.com/maps/d/edit?mid=zla1dZHd1kro.kirluZEjefqE&usp=sharing (ссылка не валидная, просто образец)

Хотя первая часть map id как раз 12 символов, может это и есть токен для сокращалки. Но всё равно непонятно, зачем нужно создавать карту с точкмаи пути от дома до клиники.
Сомнительно, что машина сама не может построить маршрут, но сможет открыть гуглокарту через короткую ссылку…

Вопрос не в том, что не сможет. Тот же маршрут, но например, сложно-сочлененный проще составить на компе и потом просто открыть на телефоне или навигатор. По той же логике и делают всякие фишки типа Send To Car или они по вашему тоже ерундой занимаются, ведь маршрут же сразу можно в машине построить?
Навигатор-то может и может, но для этого надо вбить в него название/адрес клиники.
Без ошибок, длинную строчку.
А в компе её получают из гугля или ещё каким копипастом.
Я так делал, когда нужно было поделиться составленным маршрутом с другим человеком. Копировать полную километровую ссылку — не по фен-шую
goo.gl до сих пор выдает 7и символьные ссылки. Старые ссылки, кстати, ищутся очень легко на сотню случайных выпадает парочка рабочих ссылок.
Сокращатели ссылок — вообще зло. Мне было бы приятно знать заранее, что ссылка на которую я кликаю ведет туда, куда я думаю, а не на вирус или фишинговый сайт (прецендент уже был). Особенно учитывая, что любят сокращать не те монструозные типы ссылок где пара сотен символов в адресе, а вообще любые.
Некоторые используют сокращатели чтобы посчитать количество переходов по ссылке (в аккаунте сокращателя обычно пишется сколько раз перешли). Ну или специально делают, чтобы те же реф ссылки не палить :).
(вместо «чувствительный» (sensitive documents/data), наверное, лучше использовать «деликатный» в общем понимании или просто «тайный» на политическом диалекте)
А всего лишь нужно использовать удлинители :) которые перебором получить невозможно.
http://www.5z8.info/cats-being-dropped-into-the-sea_k5p9cm_mercenary
Вот только непонятно, зачем огромное количество сервисов стали массово использовать сокращатели ссылок, которые изначально делали для твиттера. Нужно просто упрощать структуру, а не радикально уменьшать.
Использовать стали потому, что не все понимают, что такое «разметка» и как её приготовить. И вместо вставки ссылки, используют тупо копипаст, как здесь: " https://www.google.by/search?q=%D1%82%D0%B5%D1%81%D1%82&ie=utf-8&oe=utf-8&gws_rd=cr&ei=HjQSV7KuIce2swGB74jwCA ". А это захламляет сообщение и делает его нечитабельным. Ну и не все соцсети вообще поддерживают вёрстку.
Да и если к примеру печатать ссылку(или указывать её в презентации и етс), то использование сокращателей просто необходимо, ибо перепечатать такое большое количество символов без ошибки крайне трудная задача.
Запомнить из презентации http://tr.im/cRs93z как мне кажется не намного проще, чем http://site.com/article/about-links
Запомнить — да. А записать? А отправить через SMS/твиттер? Да и пример у вас кособокий: конечно же, есть случаи, когда сокращать бесполезно. Но есть и миллионы случаев, когда без этого не обойтись. Сравните:
https://goo.gl/VzQCNJ
и
https://www.google.ru/maps/place/%D0%9C%D0%BE%D1%81%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9+%D0%9A%D1%80%D0%B5%D0%BC%D0%BB%D1%8C/@55.7520233,37.6153054,17z/data=!3m1!4b1!4m2!3m1!1s0x46b54a50b315e573:0xa886bf5a3d9b2e68
На самом деле можно и собственно, и 40 символьные адреса брутфорснуть. Можно сидеть и для сайта строки перебирать подряд. Как правило надо посмотреть внимательно на схему url-ования и можно прокверить какой-то сайт и написать скрипд который будет кверить, дизайн в большинстве случаев url-схемы, очень простой. Такие дела.
решение: на стороне сервера ограничивать кол-во запросов по IP, вроде защиты от ддос, добавлять капчу и т.п. Тогда придется ботнеты подключать, что на порядок сложнее.
Ограничение по IP отлично решается IP v6 :)
Капча сразу убивает всю идею сокращателей…
GUID интереснее, либо хэш… даже примитивный md5, соленый к примеру timestamp'ом и/или ip (без возможности восстановить их)
Так IPv6 адреса просто банить не по конкретному IP, а по большим подсетям, которые обычно выдают провайдеры одному абоненту.
А как вы определите маску подсети абонента? /64, /56, /48 или вообще /32?
пропустим вопрос о том, почему же вообще кто-то шарит документы короткими ссылками…
ведь у всех этих сервисов (onedrive, dropbox, etc...) есть шаринг для конкретного пользователя, вбиваем email и готово, файл расшарен с нужными людьми
а если уж нужна ссылка для неопределенного круга людей, то какой это конфиденциальный документ?)

и у onedrive есть галочка, чтобы сделать короткую ссылку (не знаю как их онлайн офис работает, но на генерацию ссылки на залитый файл уходит какое-то время, поэтому мне не кажется, что прям для каждого расшаренного файла автоматически короткая ссылка не создается, а только по запросу
но на генерацию ссылки на залитый файл уходит какое-то время

Ну какое-то конечно уходит, но думаю им можно пренебречь и считать его равным 0, если сравнивать к примеру со временем скачивания файла.
я имел в виду это:
> Сокращатель ссылок встроен в OneDrive и другие облачные сервисы, так что короткий адрес автоматически присваивается каждому документу, даже с секретной информацией

что на залитые файлы это делается вручную, а не автоматически
Возможно они все равное всегда делают эту ссылку, просто если пользователь просит — показывают ее, а если не просит — не показывают.
всё может быть, но как-то нелогично делать короткую ссылку, а отдавать её только по запросу… хотя это только моя логика))
Вообще короткие ссылки редко когда нужны на длительный срок: почему бы не сделать тупо ограничение по времени и предупреждение, что «использование вечных коротких ссылок небезопасно»?
Ну, так во время брута можно сбрутить те ссылки, которые туда сунули 10 минут назад. Проблема-то явно не в сервисе сокращения ссылок, а в том, что юзеры шарят там то, что шарить таким образом в принципе нельзя.
Уж сколько раз твердили миру, security throught obscurity никогда к добру не приводит, если есть хоть сколько-нибудь секретные данные. Но пользователи тоже отличились: «около 7% найденных папок были открыты на запись», тут медицина бессильна.
То есть вместо сервиса-шорткатера теперь вполне может взлететь сервис-удлинитель?
Only those users with full accounts are able to leave comments. Log in, please.