Sie machen lange URLs kürzer und erleichtern das Teilen in sozialen Netzwerken, Drucksachen und Nachrichten.
Aus Sicht der Anonymität ist bei Kurz-URLs jedoch Vorsicht nötig.
Bei Kurz-URLs ist das endgültige Ziel anhand der sichtbaren Adresse schwerer zu erkennen. Zusätzlich können Weiterleitungsprotokolle des Kurz-URL-Dienstes, Klickmessung, Weiterleitungen und Tracking-Parameter eine Rolle spielen.
"Kurz" bedeutet nicht "sicher".
Im Gegenteil: Durch die Kürzung werden Informationen unsichtbar.
Dieser Artikel ordnet, wie Kurz-URLs und Weiterleitungen mit Anonymität zusammenhängen und was vor dem Teilen geprüft werden sollte.
Was Kurz-URLs sind
Eine Kurz-URL ist ein Mechanismus, der eine lange URL durch eine andere, kürzere URL ersetzt.
Wenn jemand die Kurz-URL öffnet, wird zuerst der Kurz-URL-Dienst aufgerufen und danach zur eigentlichen URL weitergeleitet.
Diese Weiterleitung heißt Redirect.
Phase
Was passiert
Worauf man bei Anonymität achtet
1
Eine Kurz-URL wird angeklickt
Zuerst wird der Kurz-URL-Dienst kontaktiert
2
Der Kurz-URL-Dienst protokolliert oder entscheidet
Klickzeit, IP, User-Agent und Ähnliches können protokolliert werden
3
Weiterleitung zur eigentlichen URL
Das endgültige Ziel wird geöffnet
4
Die Zielwebsite verarbeitet den Zugriff
Auch dort kommen Zugriffslogs und URL-Parameter an
Wer eine Kurz-URL verwendet, macht also nicht nur die Zielwebsite, sondern auch den Kurz-URL-Dienst zu einem Zwischenpunkt der Kommunikation.
Dieser Punkt ist wichtig.
Was durch Kurz-URLs schwerer sichtbar wird
Bei Kurz-URLs ist das endgültige Ziel anhand der sichtbaren Adresse nicht erkennbar.
Auch welche Parameter an der finalen URL hängen, ist vor dem Klicken schwerer zu erkennen.
Was schwerer sichtbar wird
Warum es problematisch ist
Endgültige Domain
Vor dem Klicken lässt sich schwer beurteilen, welche Website geöffnet wird
URL-Parameter
UTM, Klick-ID und individuelle IDs werden verborgen
Falsche oder verdächtige Seiten sind am Aussehen schwerer zu erkennen
Für Anonymität ist es wichtig, das Ziel selbst zu verstehen, bevor man es öffnet.
Kurz-URLs erschweren diese Entscheidung.
Informationen, die bei Kurz-URL-Diensten bleiben können
Kurz-URL-Dienste verkürzen nicht nur Zeichenketten.
Viele Kurz-URL-Dienste können Klickzahlen, Herkunft, Datum und Uhrzeit, Geräteinformationen und Ähnliches messen.
Information
Bedeutung
Hinweis für Anonymität
Klickzeit
Wann geöffnet wurde
Kann mit Posting-Zeit oder Verhaltenslogs abgeglichen werden
IP-Adresse
Aus welchem Netzwerk geöffnet wurde
Auch Nutzung von oder kann unter Umständen sichtbar werden
User-Agent
Informationen zu Browser und OS
Wird zum Merkmal der Nutzungsumgebung
Referrer
Von welcher Seite der Zugriff kam
Freigabeort oder Herkunft kann erkennbar werden
Klickzahl
Wie oft geöffnet wurde
Kann zur Einschätzung von Verteilungsumfang oder Interesse genutzt werden
Nicht jeder Kurz-URL-Dienst speichert dieselben Logs.
Sicher ist aber: Mit der Nutzung einer Kurz-URL fügen Sie der Kommunikationsroute eine weitere dritte Stelle neben dem Ziel hinzu.
Bei Anonymität hat schon das Vergrößern des Kreises der Vertrauensstellen Bedeutung.
Wenn sich Weiterleitungen häufen
Beim Öffnen einer Kurz-URL bleibt es nicht immer bei einer einzigen Weiterleitung.
Wenn Werbung, soziale Netzwerke, E-Mail-Versand, Zugriffsauswertung oder Affiliate-Systeme beteiligt sind, können mehrere Redirects durchlaufen werden.
Problem der Weiterleitung
Was passiert
Mehrere Zwischendienste
Jeder davon kann möglicherweise den Klick beobachten
Parameter werden unterwegs hinzugefügt
Tracking-ID oder Kampagneninformationen können angehängt werden
Ziel ändert sich je nach Region oder Gerät
Das von Ihnen geprüfte Ziel kann sich vom Ziel anderer Personen unterscheiden
Zeitlich begrenzte URL
Späteres Öffnen kann anderes Verhalten auslösen
Bösartige Weiterleitung
Kann zu gefälschten Websites oder gefährlichen Dateien führen
Wenn Sie eine Kurz-URL teilen, kann ein einzelner sichtbarer Link tatsächlich über mehrere Dienste laufen.
Deshalb werden Kurz-URLs bei anonymer Aktivität und Prüfungen vor Veröffentlichung möglichst vermieden; stattdessen wird die finale URL geprüft und geteilt.
Vor dem Öffnen einer Kurz-URL prüfen
Wenn Sie eine Kurz-URL erhalten, gibt es Situationen, in denen Sie sie nicht sofort öffnen sollten.
Besonders bei anonymer Aktivität, Recherche, Whistleblowing, aktivitätsbezogener Kommunikation und Dateiaustausch vor Veröffentlichung sollte ein Link nicht geöffnet werden, ohne das Ziel zu prüfen.
Prüfung
Grund
Aufgelöstes Ziel prüfen
Um endgültige Domain und URL zu kennen
Links unbekannter Absender vermeiden
Es kann sich um gefälschte Seiten oder Tracking-Links handeln
Nicht im angemeldeten Browser öffnen
Um keine Verbindung zu oder Kontostatus herzustellen
Falls nötig in getrennter Umgebung prüfen
Um Informationen des normalen Geräts oder Browsers nicht preiszugeben
Parameter der finalen URL ansehen
Um UTM, Klick-ID, token und Ähnliches zu prüfen
Wie sich ein Ziel auflösen lässt, hängt vom Dienst und von der Browserumgebung ab.
Wenn Sie eine Kurz-URL in einen Online-Auflösungsdienst eingeben, können diese URL und Informationen zum Zugriffsort an diesen Dienst übermittelt werden. Bei Hochrisiko-Links geben Sie sie nicht in externe Dienste ein, sondern fragen die absendende Person nach der offiziellen URL oder prüfen sie vorsichtig in einer getrennten Umgebung.
Wenn Sicherheit wichtig ist, kann es besser sein, nicht zwanghaft zu klicken, sondern bei der absendenden Person die offizielle URL zu erfragen.
Wenn Sie selbst eine Kurz-URL teilen
Wenn Sie anonym etwas teilen, sollten Sie Kurz-URLs grundsätzlich vorsichtig behandeln.
Durch eine Kurz-URL können Informationen über klickende Personen beim Kurz-URL-Dienst zusammenlaufen.
Auch für die empfangende Person ist das Ziel schwerer erkennbar.
Das betrifft nicht nur Anonymität, sondern auch die Sicherheit der Empfängerinnen und Empfänger.
Wenn Sie dennoch teilen, prüfen Sie diese Punkte.
Bleiben unnötige Tracking-Parameter in der finalen URL?
Bietet der Kurz-URL-Dienst Klickanalyse?
Kann die empfangende Person das Ziel vor dem Klicken beurteilen?
Ist diese Kurz-URL wirklich nötig?
Lässt sich auch die lange URL problemlos teilen?
Bei anonymer Aktivität hat die Nachvollziehbarkeit der Route Vorrang vor optischer Kürze.
Nicht nur nach Kurz-URLs entscheiden
Kurz-URLs zu vermeiden macht noch nicht anonym.
Wenn in der finalen URL Tracking-Parameter bleiben, bleibt das Problem bestehen.
Wenn Sie am Ziel angemeldet sind, wird der Zugriff mit dem Konto verbunden.
Wenn Sie den normalen Browser verwenden, werden Cookies und Browserinformationen gesendet.
Auch bei VPN oder Tor ändern sich nur die Informationen, die Kurz-URL-Dienst oder Ziel sehen; Tracking-Werte in der URL selbst verschwinden dadurch nicht.
Die Prüfung von Kurz-URLs ist ein Teil der gesamten Prüfung von URL-Tracking.
Zusammenfassung
Kurz-URLs sind ein praktischer Mechanismus, um lange URLs zu kürzen.
Aus Sicht der Anonymität werden dadurch aber endgültiges Ziel, URL-Parameter, Zwischendienste und Klicklogs schwerer sichtbar.
Beim Öffnen einer Kurz-URL wird nicht nur die Zielwebsite, sondern auch der Kurz-URL-Dienst zu einem Zwischenpunkt der Kommunikation.
Deshalb werden Kurz-URLs bei anonymer Aktivität und Prüfungen vor Veröffentlichung nicht einfach vertraut; Auflösungsziel, Weiterleitungen, Parameter und Anmeldestatus werden geprüft.
Auch wenn Sie selbst teilen, überlegen Sie, ob eine Kurz-URL nötig ist.
Eine kurze URL ist nicht automatisch eine sichere URL.
Bei Anonymität zählt mehr, dass Ziel und verbleibende Informationen erkennbar sind, als dass die URL kurz ist.
Verwandte Artikel
URL-Tracking
Risiken von Kurz-URLs und Weiterleitungen
Kurz-URLs verbergen Ziel, Parameter, Weiterleitungen und Zwischendienste; vor dem Öffnen oder Teilen sollten Ziel, Loginstatus und Tracking-Werte geprüft werden.