454460 M

Kurze URLs: Ein gefährlicher Segen?

Das ist ein über­ar­bei­te­ter Arti­kel aua dem Jahr 2008.

Einleitung

Im Zuge mei­ner ers­ten Erfah­run­gen mit Twit­ter habe ich mich 2008 ver­mehrt mit kur­zen URLs und den dahin­ter ste­hen­den Diens­ten befasst. Dar­aus ist einer mei­ner ers­ten Blog­ar­ti­kel ent­stan­den, in dem ich mich kri­tisch mit die­ser Tech­no­lo­gie aus­ein­an­der­set­ze. Die grund­sätz­li­chen Beden­ken sind bis heu­te gül­tig. Ich habe ledig­lich eini­ge Aus­sa­gen an die heu­ti­ge Zeit ange­passt.

Es gibt ver­schie­de­ne Anbie­ter, die die Mög­lich­keit bie­ten, nor­ma­le, lan­ge URLs zu kür­zen und durch ein For­mat zu erset­zen, das unge­fähr so aus­sieht: http://anbieter/code. anbie­ter ist dabei die Domain des Anbie­ters des Ser­vices, und der code steht für den codier­ten URL der Web­site. Die­se Daten wer­den ver­knüpft mit dem rich­ti­gen URL in einer Daten­bank gespei­chert, so dass beim Auf­ruf des gekürz­ten URLs der rich­ti­ge URL auf­ge­ru­fen wer­den kann. Ins­be­son­de­re bei Micro­blog­sys­te­men wie Twit­ter sind kur­ze URLs sehr ver­brei­tet, da man bei die­sen Sys­te­men nur weni­ge Zei­chen zur Ver­fü­gung hat. 2008, als die­ser Arti­kel zum ers­ten Mal erschien, waren es 140 Zei­chen. Heu­te, im Jahr 2020, sind es 280. Im Lau­fe der Zeit ent­stan­den wei­te­re teils freie und ver­teil­te Micro­blog­sys­te­me, wie <a href=„https://gnu.io/social/”>GnuSocial</a> und <a href=„https://joinmastodon.org/”>Mastodon</a>, die noch mehr Zei­chen pro Bei­trag erlau­ben. Aber mehr als 500 Zei­chen sind es sel­ten. Da bie­tet es sich an, statt­des­sen auf eine Web­sei­te zu ver­wei­sen und dafür eine kur­ze URL zu ver­wen­den.

Kurze URLs: Wo liegt das Problem?

So weit, so gut. Aber kur­ze URLs haben auch ihre Schat­ten­sei­ten. So fin­den Sie mitt­ler­wei­le auch rege Ver­wen­dung in Diens­ten, die kei­ne Zei­chen­be­gren­zung haben, oder gar auf nor­ma­len Web­sites. Das bringt gro­ße Nach­tei­le mit sich, die ich an die­ser Stel­le dis­ku­tie­ren möch­te.

  • Was pas­siert, wenn einer der Anbie­ter sei­nen Dienst plötz­lich dicht­macht? Die Fol­ge wäre, dass mitt­ler­wei­le sicher­lich hun­dert­tau­sen­de oder mehr dar­über gene­rier­te und in Diens­ten wie Twit­ter oder gar auf nor­ma­len Web­sei­ten ver­wen­de­te URLs plötz­lich ins Nir­va­na wei­sen wür­den. Einen Vor­ge­schmack auf einen der­ar­ti­gen Super-GAU konn­te man bereits Ende 2008 bekom­men, als einer der Anbie­ter offen­bar eine Zeit lang kei­ne gül­ti­gen URLs pro­du­zie­ren konn­te. In die­sem Fall waren aber immer­hin die bereits gene­rier­ten URLs noch gül­tig. Unvor­stell­bar jedoch, wenn plötz­lich alle URLs eines Anbie­ters ungül­tig wären. Selbst ein tem­po­rä­rer Aus­fall der Daten­bank wäre höchst unan­ge­nehm, denn damit wür­den die meis­ten Infor­ma­tio­nen, die in Micro­blogs wie Twit­ter ver­öf­fent­licht wur­den, plötz­lich kom­plett wert­los. Schlim­mer noch: Alle Web­sites, die die­sen Dienst ver­wen­den, hät­ten nur noch Links, die ins Lee­re lau­fen wür­den.
  • Für den­je­ni­gen, der eine Web­site über einen kur­zen URL besucht, ist aber eine ande­re Gefahr noch viel grö­ßer. Man sieht näm­lich nicht, was hin­ter dem kur­zen URL steckt. Der rich­ti­ge URLs bleibt ihm ver­bor­gen, bis er den kur­zen URL und somit auch den rich­ti­gen URL auf­ge­ru­fen hat. Woher soll aber eine Besu­che­rin wis­sen, ob sie dem Pos­ter einer kur­zen URL oder der Web­site, die dahin­ter steckt, ver­trau­en kann? Auf der Web­site könn­te sich statt des ange­kün­dig­ten Inhalts Mal­wa­re oder auch ille­ga­ler Con­tent befin­den. Ohne Fra­ge, die Nut­zungs­be­din­gun­gen der Anbie­ter der Kurz-URLs schlie­ßen eine der­art schäd­li­che Nut­zung ihres in der Regel kos­ten­frei­en Diens­tes natür­lich unter Andro­hung von Sank­tio­nen aus, und sie sind bemüht, schäd­li­che URLs auch wie­der aus ihren Daten­ban­ken zu ent­fer­nen. Aber es ist davon aus­zu­ge­hen, dass das nicht in allen Fäl­len und auch nicht immer sofort gelingt. Wenn dann so ein schäd­li­cher URL auch nur weni­ge Stun­den gül­tig ist und von vie­len Men­schen auf­ge­ru­fen wird, kann er erheb­li­che Schä­den anrich­ten.
  • Last but not least kön­nen sich die­se kur­zen URLs auch nega­tiv auf die Off-Page-Such­ma­schi­nen­op­ti­mie­rung einer Sei­te aus­wir­ken, wenn sie auf nor­ma­len Web­sei­ten ver­wen­det wer­den. Denn wenn eine kur­ze URL ver­wen­det wird, kön­nen Such­ma­schi­nen nicht mehr erken­nen, wel­che Web­site eigent­lich ver­linkt wur­de. Von sol­chen Ver­lin­kun­gen pro­fi­tiert der Besit­zer der ver­link­ten Web­site nicht so wie bei­nen direk­ten Link auf sei­ne Sei­te. Zwar erhält auch er einen Link durch den Anbie­ter, aber der ist nir­gends direkt abruf­bar, so dass Such­ma­schi­nen ihn nicht fin­den kön­nen. Aber selbst wenn die­se Links von Such­ma­schi­nen gefun­den wür­den, wür­de der ursprüng­li­che Kon­text, in dem sie gesetzt wur­den, ver­lo­ren gehen. Ins­be­son­de­re der Kon­text einer Ver­lin­kung ist jedoch ein Kri­te­ri­um, das aus der SEO-Per­spek­ti­ve eine gro­ße Rol­le spielt. Das gilt übri­gens auch für Micro­blogs, die eben­falls von Such­ma­schi­nen erfaßt wer­den.

Was folgt daraus?

Ange­sichts die­ser Pro­ble­me soll­te man mit dem Ein­satz von kur­zen URLs ins­be­son­de­re auf Web­sites, aber auch in Diens­ten wie Twit­ter vor­sich­tig sein und eine kur­ze URL nur dann wäh­len, wenn der Platz wirk­lich nicht aus­reicht. User soll­ten kur­ze URLs nur ankli­cken, wenn sie dem Pos­ter einer kur­zen URL wirk­lich ver­trau­en. Beim Blog­gen soll­ten Sie auf kur­ze URLs mög­lichst kom­plett ver­zich­ten. In der Regel ist das pro­blem­los mög­lich.

WordPress-Sicherheit

WordPress-Sicherheit als politische Verantwortung

Heu­te wur­de gemel­det, dass das Blog von Amnes­ty Inter­na­tio­nal kom­pro­mit­tiert wur­de. Es sei­en Falsch­mel­dun­gen zuguns­ten des Regimes von Assad gepos­tet wor­den. Kürz­lich erst wur­de zwei­mal das Blog der renom­mier­ten Nach­rich­ten­agen­tur Reu­ters kom­pro­mit­tiert und auf die­sem Wege Falsch­mel­dun­gen ein­ge­schleust. Con­ti­nue rea­ding „Wor­d­Press-Sicher­heit als poli­ti­sche Ver­ant­wor­tung”

WordPress-Sicherheit

Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!

Es gibt zahl­rei­che Plugins, die hel­fen sol­len, Wor­d­Press siche­rer zu machen, und die auch viel­fach ein­ge­setzt wer­den. Auch siche­re Pass­wör­ter sind dabei ein The­ma. Auf der ande­ren Sei­te wer­den aber oft die grund­le­gends­ten Regeln zur Absi­che­rung eines Wor­d­Press-Blogs nicht beach­tet. Dazu gehört ohne Fra­ge auch die Wahl von siche­ren Pass­wör­tern. Statt­des­sen fin­den sich auch bei Blogs, die sonst bis auf die Zäh­ne bewaff­net sind, um Angrei­fer abzu­weh­ren, Admin-Pass­wör­ter, die jeder Beschrei­bung spot­ten. Ich möch­te daher in die­sem Bei­trag dar­le­gen, wie Sie ein siche­res Pass­wort für Ihren Wor­d­Press-Account fin­den. Die­se Rat­schlä­ge soll­ten Sie aber nicht nur bei selbst gehos­te­ten Wor­d­Press-Blogs ernst neh­men, son­dern auch bei Blogs, die auf wordpress.com lie­gen, und bei allen ande­ren Pass­wör­tern, die Sie im Netz ver­wen­den! Con­ti­nue rea­ding „Auch beim Blog­gen nicht ver­ges­sen: Wäh­len Sie siche­re Pass­wör­ter!”

WordPress-Sicherheit

Warum WordPress-Sicherheit wichtig ist

Sicher­heit und Wor­d­Press-Sicher­heit im Spe­zi­el­len wird in der IT oft ver­nach­läs­sigt. Aus­ga­ben für IT-Sicher­heit gel­ten als nicht ren­ta­bel, weil sie nicht sicht­bar zum Umsatz und Gewinn eines Unter­neh­mens bei­steu­ern. Erst wenn auf­grund man­geln­der Sicher­heits­vor­keh­run­gen ein Scha­den ent­stan­den ist, der nicht sel­ten wesent­lich höher ist als die Aus­ga­ben, die für die Absi­che­rung von Sys­te­men nötig gewe­sen wären, erfolgt ein Umden­ken – inso­fern es dann nicht schon zu spät ist.

Betrei­ber von Wor­d­Press-Blogs und ‑Web­sites bil­den da kei­ne Aus­nah­me. Vie­le Wor­d­Press-Instal­la­tio­nen sind nicht auf dem neu­es­ten Stand. Updates von Plugins und The­mes wer­den ver­nach­läs­sigt. Hin­zu kommt nicht sel­ten ein ver­al­te­tes oder gar völ­lig feh­len­des Back­up. In eini­gen Fäl­len fin­det man auch eine unsi­che­re Kon­fi­gu­ra­ti­on oder man­geln­de War­tung des Ser­vers vor, auf dem das Wor­d­Press gehos­tet wird.

Die­se Ver­säum­nis­se kön­nen natür­lich vor allem für Unter­neh­men, deren Fir­men­web­site, ‑blog oder gar ein Web­shop auf Wor­d­Press-Basis lau­fen, desas­trö­se Fol­gen haben. Neben den Umsatz­ein­bu­ßen durch den Aus­fall der Web­site dro­hen im ungüns­tigs­ten Fall ein tota­ler Daten­ver­lust und manch­mal sogar recht­li­che Kon­se­quen­zen für den Fall, dass eine Sicher­heits­lü­cke aus­ge­nutzt wird, um Straf­ta­ten zu bege­hen. Aber auch Blog­ger, die ein nicht-kom­mer­zi­el­les Blog betrei­ben, droht hier min­des­tens sehr viel Arbeit oder hohe Aus­ga­ben für die Wie­der­her­stel­lung ihres Blogs – inso­fern das über­haupt noch mög­lich ist.

Wenn Sie jetzt den­ken „Ach, mein Blog ist doch viel zu klein und unbe­deu­tend, da pas­siert schon nichts!”, so lie­gen Sie falsch. Auch Betrei­ber klei­ne­rer, schein­bar unbe­deu­ten­der Wor­d­Press-Blogs kön­nen sich nicht in Sicher­heit wie­gen. Mei­ner Erfah­rung nach spielt die Bekannt­heit eines Blogs kei­ne Rol­le für die Wahr­schein­lich­keit eines Ein­bruchs­ver­suchs.

Auf der ande­ren Sei­te ist es natür­lich ver­ständ­lich, dass Sie die siche­re War­tung Ihres Wor­d­Press mög­li­cher­wei­se nicht selbst leis­ten kön­nen, etwa weil Ihnen die Zeit fehlt oder Sie sich nicht so ein­ar­bei­ten kön­nen, wie es für eine siche­re War­tung nötig wäre. In so einem Fall soll­ten Sie die War­tung Ihres Wor­d­Press aber nicht ein­fach ver­nach­läs­si­gen, son­dern jeman­den damit beauf­tra­gen, der sich die Zeit nimmt und das Know­how mit­bringt. Ich unter­stüt­ze Sie gern dabei und mache Ihnen ein fai­res indi­vi­du­el­les Ange­bot. Neh­men Sie mit mir Kon­takt auf.