Они делают длинные URL короче, и ими легче делиться в соцсетях, печатных материалах и сообщениях.
Но с точки зрения анонимности с сокращенными URL нужна осторожность.
По виду сокращенного URL трудно понять конечный адрес. Кроме того, могут быть важны журналы посредника у сервиса сокращения, измерение кликов, перенаправления и параметры отслеживания.
«Короткий» не значит «безопасный».
Наоборот, из-за сокращения часть информации становится невидимой.
В этой статье разобрано, как сокращенные URL и перенаправления связаны с анонимностью и что проверять перед передачей.
Что такое сокращенный URL
Сокращенный URL — это механизм, при котором длинный URL заменяется другим, более коротким URL.
Когда пользователь открывает сокращенный URL, он сначала обращается к сервису сокращения URL, а затем перенаправляется к исходному URL.
Такое перенаправление называется redirect.
Этап
Что происходит
Что смотреть для анонимности
1
Нажимают сокращенный URL
Сначала происходит подключение к сервису сокращения URL
2
Сервис сокращения URL записывает и оценивает
Иногда записываются время клика, IP, User-Agent и другое
3
Перенаправляет к исходному URL
Открывается конечный адрес
4
Сайт назначения обрабатывает доступ
У сайта назначения тоже есть журналы доступа и параметры URL
То есть при использовании сокращенного URL посредником в связи становится не только сайт назначения, но и сервис сокращения URL.
Это важный момент.
Что становится менее видимым в сокращенном URL
По виду сокращенного URL нельзя понять конечный адрес.
Также до клика трудно увидеть, какие параметры есть в конечном URL.
Что становится менее видимым
Почему это проблема
Конечный домен
До клика трудно понять, на какой сайт вы попадете
Параметры URL
Скрываются UTM, click ID и индивидуальные ID
Число перенаправлений
Иногда проходит несколько посредников
Промежуточный сервис
Трудно понять, какой оператор наблюдает клик
Переход на опасный сайт
По виду трудно отличить поддельный или подозрительный сайт
Для анонимности важно понимать адрес назначения перед открытием.
Сокращенный URL усложняет это решение.
Какая информация может оставаться у сервиса сокращения
Сервис сокращения URL не всегда просто сокращает строку.
Многие такие сервисы могут измерять число кликов, источник клика, дату и время, сведения об устройстве и другое.
Информация
Смысл
Осторожность для анонимности
Время клика
Когда открыли
Сверяется со временем публикации и журналами действий
IP-адрес
Из какой сети открыли
Иногда видно и использование или
User-Agent
Информация о браузере и ОС
Становится особенностью среды
Referer
С какой страницы пришли
Иногда видно место распространения или источник перехода
Число кликов
Сколько раз открывали
Используется для оценки области распространения и интереса
Не все сервисы сокращения URL хранят одинаковые журналы.
Но сам факт использования сокращенного URL добавляет третью сторону на маршрут связи помимо сайта назначения.
В анонимности само увеличение числа доверенных сторон имеет значение.
Когда перенаправления накладываются
Сокращенный URL не обязательно перенаправляет только один раз.
Если связаны реклама, соцсети, почтовые рассылки, аналитика или партнерские ссылки, возможны несколько перенаправлений.
Проблема цепочки перенаправлений
Что происходит
Несколько промежуточных сервисов
Каждый может наблюдать клик
Параметры добавляются по пути
Иногда добавляются ID отслеживания или сведения кампании
Адрес меняется по региону или устройству
Адрес, который проверили вы, может отличаться от адреса другого человека
URL с ограниченным сроком
Позже поведение может измениться
Злонамеренное перенаправление
Может вести на поддельный сайт или опасный файл
Если делиться сокращенным URL, внешне это одна ссылка, но на деле она может проходить через несколько сервисов.
Поэтому в анонимной активности и проверке перед публикацией лучше по возможности избегать сокращенных URL, проверять и передавать конечный URL.
Проверять перед открытием сокращенного URL
Если вы получили сокращенный URL, в некоторых ситуациях не стоит открывать его сразу.
Особенно в анонимной активности, журналистской работе, сообщении о нарушениях, связи по активистской деятельности и передаче файлов до публикации не открывайте ссылку без проверки назначения.
Проверка
Причина
Проверить развернутый адрес
Чтобы узнать конечный домен и URL
Избегать ссылок от неизвестного отправителя
Возможны поддельный сайт или ссылка отслеживания
Не открывать в браузере с выполненным входом
Чтобы не связывать с и состоянием аккаунта
При необходимости проверять в отдельной среде
Чтобы не раскрывать обычное устройство и сведения браузера
Смотреть параметры конечного URL
Проверить UTM, click ID, token и похожие значения
Способ проверки развернутого адреса зависит от сервиса и браузерной среды.
Если ввести сокращенный URL в онлайн-сервис развертывания, сам URL и сведения об источнике доступа могут быть переданы этому сервису. Для высокорисковой ссылки лучше не вводить ее во внешний сервис, а запросить у отправителя официальный URL или осторожно проверить в разделенной среде.
Когда безопасность важна, иногда лучше не открывать ссылку без необходимости, а попросить отправителя дать официальный URL.
Когда вы сами делитесь сокращенным URL
Если вы делитесь чем-то анонимно, с сокращенными URL в целом стоит обращаться осторожно.
При их использовании сведения о людях, которые кликнули, могут собираться на стороне сервиса сокращения.
Кроме того, получателю труднее понять, куда ведет ссылка.
Это касается не только вашей анонимности, но и безопасности получателя.
Если все же делиться, проверьте следующее.
Не осталось ли в конечном URL ненужных параметров отслеживания
Есть ли у сервиса сокращения URL аналитика кликов
Может ли получатель понять адрес назначения до клика
Действительно ли нужен этот сокращенный URL
Нельзя ли без проблем передать длинный URL
В анонимной активности понятность маршрута важнее краткости внешнего вида.
Не судить только по сокращенному URL
Даже отказ от сокращенных URL сам по себе не делает вас анонимным.
Если в конечном URL остаются параметры отслеживания, проблема остается.
Если на сайте назначения выполнен вход, доступ связывается с аккаунтом.
Если открыть обычным браузером, передаются Cookie и сведения браузера.
Даже при использовании VPN или Tor меняется только то, какая информация видна сервису сокращения и сайту назначения; значения отслеживания в самом URL не исчезают.
Проверка сокращенного URL — часть общей проверки URL-отслеживания.
Итоги
Сокращенный URL — удобный механизм, который делает длинный URL коротким.
Но с точки зрения анонимности он делает менее видимыми конечный адрес, параметры URL, промежуточный сервис и журналы кликов.
При открытии сокращенного URL посредником становится не только сайт назначения, но и сервис сокращения URL.
Поэтому в анонимной активности и проверке перед публикацией не доверяйте сокращенному URL как есть: проверяйте развернутый адрес, перенаправления, параметры и состояние входа.
Если делитесь сами, подумайте, действительно ли нужен сокращенный URL.
Короткий URL не обязательно безопасный URL.
В анонимности важнее не краткость, а понимание адреса назначения и остающейся информации.
Связанные статьи
Отслеживание URL
Риски сокращенных URL и перенаправлений
Сокращенные URL скрывают конечный адрес, параметры, цепочки перенаправлений и посредников, а сервис сокращения может видеть клики и сведения среды.