Комментарии 31
Сначала даже не понял зачем им брутфорсить google maps, но по итогу выходит, что можно узнать распорядок человека с высокой точностью. Никогда бы не подумал про эту уязвимость.
Интересно, зачем эти люди сохраняли в картаз гугла свои маршруты и получали на них короткую ссылку?
Что бы потом вбить в навигатор на машине? Или… может при формировании своей карты (например создал и сохранил её) короткие ссылки у гугломепа генерятся автоматом как и у onedrive?
Сомнительно, что машина сама не может построить маршрут, но сможет открыть гуглокарту через короткую ссылку…
Проверил с картами гугла: создал новую карту и тыкнул поделиться, гугл выдал длинную ссылку вида https://www.google.com/maps/d/edit?mid=zla1dZHd1kro.kirluZEjefqE&usp=sharing (ссылка не валидная, просто образец)
Хотя первая часть map id как раз 12 символов, может это и есть токен для сокращалки. Но всё равно непонятно, зачем нужно создавать карту с точкмаи пути от дома до клиники.
Проверил с картами гугла: создал новую карту и тыкнул поделиться, гугл выдал длинную ссылку вида https://www.google.com/maps/d/edit?mid=zla1dZHd1kro.kirluZEjefqE&usp=sharing (ссылка не валидная, просто образец)
Хотя первая часть map id как раз 12 символов, может это и есть токен для сокращалки. Но всё равно непонятно, зачем нужно создавать карту с точкмаи пути от дома до клиники.
Сомнительно, что машина сама не может построить маршрут, но сможет открыть гуглокарту через короткую ссылку…
Вопрос не в том, что не сможет. Тот же маршрут, но например, сложно-сочлененный проще составить на компе и потом просто открыть на телефоне или навигатор. По той же логике и делают всякие фишки типа Send To Car или они по вашему тоже ерундой занимаются, ведь маршрут же сразу можно в машине построить?
Навигатор-то может и может, но для этого надо вбить в него название/адрес клиники.
Без ошибок, длинную строчку.
А в компе её получают из гугля или ещё каким копипастом.
Без ошибок, длинную строчку.
А в компе её получают из гугля или ещё каким копипастом.
Я так делал, когда нужно было поделиться составленным маршрутом с другим человеком. Копировать полную километровую ссылку — не по фен-шую
goo.gl до сих пор выдает 7и символьные ссылки. Старые ссылки, кстати, ищутся очень легко на сотню случайных выпадает парочка рабочих ссылок.
Сокращатели ссылок — вообще зло. Мне было бы приятно знать заранее, что ссылка на которую я кликаю ведет туда, куда я думаю, а не на вирус или фишинговый сайт (прецендент уже был). Особенно учитывая, что любят сокращать не те монструозные типы ссылок где пара сотен символов в адресе, а вообще любые.
Вот интересная статья на эту тему
Некоторые используют сокращатели чтобы посчитать количество переходов по ссылке (в аккаунте сокращателя обычно пишется сколько раз перешли). Ну или специально делают, чтобы те же реф ссылки не палить :).
(вместо «чувствительный» (sensitive documents/data), наверное, лучше использовать «деликатный» в общем понимании или просто «тайный» на политическом диалекте)
А всего лишь нужно использовать удлинители :) которые перебором получить невозможно.
http://www.5z8.info/cats-being-dropped-into-the-sea_k5p9cm_mercenary
Вот только непонятно, зачем огромное количество сервисов стали массово использовать сокращатели ссылок, которые изначально делали для твиттера. Нужно просто упрощать структуру, а не радикально уменьшать.
http://www.5z8.info/cats-being-dropped-into-the-sea_k5p9cm_mercenary
Вот только непонятно, зачем огромное количество сервисов стали массово использовать сокращатели ссылок, которые изначально делали для твиттера. Нужно просто упрощать структуру, а не радикально уменьшать.
Использовать стали потому, что не все понимают, что такое «разметка» и как её приготовить. И вместо вставки ссылки, используют тупо копипаст, как здесь: " https://www.google.by/search?q=%D1%82%D0%B5%D1%81%D1%82&ie=utf-8&oe=utf-8&gws_rd=cr&ei=HjQSV7KuIce2swGB74jwCA ". А это захламляет сообщение и делает его нечитабельным. Ну и не все соцсети вообще поддерживают вёрстку.
Да и если к примеру печатать ссылку(или указывать её в презентации и етс), то использование сокращателей просто необходимо, ибо перепечатать такое большое количество символов без ошибки крайне трудная задача.
Да и если к примеру печатать ссылку(или указывать её в презентации и етс), то использование сокращателей просто необходимо, ибо перепечатать такое большое количество символов без ошибки крайне трудная задача.
Запомнить из презентации http://tr.im/cRs93z как мне кажется не намного проще, чем http://site.com/article/about-links
Запомнить — да. А записать? А отправить через SMS/твиттер? Да и пример у вас кособокий: конечно же, есть случаи, когда сокращать бесполезно. Но есть и миллионы случаев, когда без этого не обойтись. Сравните:
https://goo.gl/VzQCNJ
и
https://www.google.ru/maps/place/%D0%9C%D0%BE%D1%81%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9+%D0%9A%D1%80%D0%B5%D0%BC%D0%BB%D1%8C/@55.7520233,37.6153054,17z/data=!3m1!4b1!4m2!3m1!1s0x46b54a50b315e573:0xa886bf5a3d9b2e68
https://goo.gl/VzQCNJ
и
https://www.google.ru/maps/place/%D0%9C%D0%BE%D1%81%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9+%D0%9A%D1%80%D0%B5%D0%BC%D0%BB%D1%8C/@55.7520233,37.6153054,17z/data=!3m1!4b1!4m2!3m1!1s0x46b54a50b315e573:0xa886bf5a3d9b2e68
На самом деле можно и собственно, и 40 символьные адреса брутфорснуть. Можно сидеть и для сайта строки перебирать подряд. Как правило надо посмотреть внимательно на схему url-ования и можно прокверить какой-то сайт и написать скрипд который будет кверить, дизайн в большинстве случаев url-схемы, очень простой. Такие дела.
решение: на стороне сервера ограничивать кол-во запросов по IP, вроде защиты от ддос, добавлять капчу и т.п. Тогда придется ботнеты подключать, что на порядок сложнее.
НЛО прилетело и опубликовало эту надпись здесь
Вообще короткие ссылки редко когда нужны на длительный срок: почему бы не сделать тупо ограничение по времени и предупреждение, что «использование вечных коротких ссылок небезопасно»?
Уж сколько раз твердили миру, security throught obscurity никогда к добру не приводит, если есть хоть сколько-нибудь секретные данные. Но пользователи тоже отличились: «около 7% найденных папок были открыты на запись», тут медицина бессильна.
То есть вместо сервиса-шорткатера теперь вполне может взлететь сервис-удлинитель?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Угнано за шесть символов. Сокращатели ссылок поддались брутфорсу