Domanda:
Una banca / un servizio finanziario dovrebbe utilizzare servizi di abbreviazione di URL esterni?
hPNJ7MHTyg
2020-04-15 14:25:37 UTC
view on stackexchange narkive permalink

Supponiamo che esista una banca / servizio finanziario che desidera avere collegamenti ipertestuali sul proprio sito Web / dominio protetto (o anche nelle e-mail inviate ai clienti). In alcuni di questi collegamenti ci sono alcuni URL lunghi / oscuri che collegano a uno dei loro sottodomini, ma i collegamenti lunghi sono brutti e non molto facili da usare, quindi vogliono avere collegamenti più brevi e più belli da inserire nel sito Web o nell'e-mail.

  • Quali sono i rischi per una banca / servizio finanziario che utilizza un servizio di abbreviazione di URL esterno, ad es. Bitly, per questo?
  • È meglio per una banca / servizio finanziario ospitare questo tipo di collegamento breve al servizio di traduzione di collegamento lungo sul proprio dominio e infrastruttura?
L'utilizzo di accorciatori di URL è una pratica comune nelle truffe per nascondere il dominio che è ovviamente diverso da chi stanno impersonando i truffatori.Se la banca utilizza spesso abbreviazioni URL, è più probabile che i suoi clienti facciano clic sugli URL abbreviati dei truffatori.
Se la mia banca inizia a utilizzare accorciatori di URL che nascondono il nome di dominio, lascerò cadere la banca.Ci sono molti modi interni per risolvere questo problema, andare all'esterno è un grosso rischio.
Se puoi ospitarlo internamente, perché usare la versione lunga?- E, inoltre, se un agente esterno può abbreviare i tuoi URL, perché non puoi?- Inoltre, gli URI interessanti non cambiano!
Qual è la ragione per utilizzare URI e sottodomini lunghi e / o oscuri, comunque?Dovresti avere uno schema URI conciso, immutabile (o almeno espandibile) per affrontare tutto.Tuttavia, il funzionamento interno della distribuzione dei contenuti non dovrebbe svolgere alcun ruolo in questo.
Vale la pena notare che alcune banche [hanno i propri TLD] (https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#Brand_top-level_domains), quindi questo faciliterebbe URL brevi con marchio.
Se Amazon, nel funzionamento quotidiano, è in grado di gestire URL di dimensioni pari a 2 kilobyte senza una buona ragione, qual è il problema comunque?
Penso che vada bene se ospiti il tuo abbreviazione di link, sul tuo dominio, ovviamente utilizzando HTTP e utilizzando un certificato che designa chiaramente il nome della tua banca.Non addestrare gli utenti a fare clic su link stranieri.
Odio dirlo, ma sta diventando popolare tra le banche grazie agli SMS e ai servizi bancari whatsapp.Là usano molto gli accorciatori di URL.
Dato che gli sviluppatori della banca (e soprattutto la loro gestione dello sviluppo) sembrano non avere la competenza per registrare e controllare i nomi di dominio e il compito semplicistico di tradurre gli URL, non posso dire che mi fiderei di loro per fare qualcosa, figuriamoci"gestire" i miei soldi.
Alla fine, le banche non dovrebbero MAI inviare URL "cliccabili"
Sei risposte:
MechMK1
2020-04-15 15:39:34 UTC
view on stackexchange narkive permalink

In alcuni di questi collegamenti ci sono alcuni URL lunghi / oscuri che rimandano a uno dei loro sottodomini, ma i collegamenti lunghi sono brutti e non molto facili da usare, quindi vogliono avere collegamenti più brevi e più belli da inserire il sito web o l'email.

Gli utenti generalmente non devono più digitare alcun URL da almeno alcuni decenni. Infatti, se dai un'occhiata a questo link, vedrai che è davvero lungo e tuttavia non è necessario digitarne nessuno. In genere, gli accorciatori di URL sono utili solo se devi trasmettere un URL tramite un mezzo che non supporta i collegamenti ipertestuali, come la stampa su carta. E anche lì, i codici QR vengono lentamente implementati sempre di più per risolvere questo problema esatto.

Quali sono i rischi di utilizzare un servizio esterno per farlo?

Webcomic showing the dangers of URL shorteners, Source: xkcd.com/1698/

Fonte: Randall Munroe, xkcd / 1698, con licenza CC-BY-NC 2.5 sup >

Utilizzando gli accorciatori di URL, prometti che questo URL si collegherà a una fonte affidabile. Finché il tuo accorciatore di URL di scelta funziona e rimane affidabile, funziona. Tuttavia, una volta trascorso un po 'di tempo, l'accorciatore di URL potrebbe cessare l'attività e il dominio verrà nuovamente messo in vendita. Da quel momento in poi, non puoi più garantire se quei vecchi URL funzioneranno (probabilmente non lo faranno) o cosa succederà se gli utenti li visiteranno. Ricorda che agli occhi di un utente questo link proviene da te, quindi si fideranno che qualsiasi cosa su quel sito provenga da te, anche se potrebbe non esserlo.

È successo in pratica? Sì. In Windows XP, Windows Media Player non viene fornito con la licenza richiesta per riprodurre file WMV protetti da DRM. Fortunatamente per l'utente, Windows Media Player ha l'URL per ottenere la licenza hard-coded. Sfortunatamente per l'utente, quell'URL non punta più a Microsoft, ma piuttosto a un distributore di malware. Qualsiasi utente che utilizza ancora Windows XP e desidera riprodurre un file WMV protetto da DRM, verrà reindirizzato al malware dal lettore multimediale integrato del proprio sistema operativo , solo a causa di URL shortener.

Una soluzione migliore

Se distribuisci link solo digitalmente, non importa quanto siano lunghi gli URL. Gli utenti fanno clic sul pulsante e il gioco è fatto. Se hai davvero bisogno di distribuire URL in un formato non selezionabile, come pubblicità TV o supporti di stampa, crea il tuo accorciatore di URL. Se ACME Corp. offre un nuovo prodotto chiamato "Ultra-Gigatron 9001", crea l'URL ac.me/ug9001 . Se non funziona, rendilo acme.com/ug9001 . I sottodomini sono gratuiti, così come i nomi dei percorsi. Tieni presente che quell'URL deve essere attivo finché ti aspetti che le persone lo digitino.

Ironia della sorte, e contrariamente a xkcd, per circa 15 anni il codice di lancio nucleare è stato un noto ** 00000000 **.Non è il punto che conosco, solo aneddotico.
Si noti che gli SMS sono un caso particolare ancora attuale di lunghezza limitata.
Sei sicuro che la vulnerabilità DRM di Windows XP sia collegata a un accorciatore di URL?Potete fornire una fonte per queste informazioni?Ho trovato solo https://docs.microsoft.com/en-us/security-updates/securityadvisories/2005/892313 e https://news.softpedia.com/news/ten-years-later-you-can-still-get-malware-tramite-Windows-media-player-drm-508031.shtml
@user10216038 come fai a saperlo?Puoi dare qualche riferimento?
@RazvanSocol Potrebbe essere che mi riferissi a quella vulnerabilità.È passato un po 'di tempo.Modificherò questo quando avrò il tempo
I codici di lancio di @user10216038 Nuclear sono praticamente inutili senza l'accesso all'Air Force One, al Nuclear Football, al Monte Cheyenne oa qualsiasi altro luogo in cui puoi effettivamente usarli.Non è che puoi fare clic su una richiesta GET e lanciare accidentalmente un missile nucleare.
* "I codici QR vengono implementati lentamente sempre di più per risolvere questo problema esatto." * - che è esattamente il punto in cui è probabile che venga utilizzato un accorciatore di URL - i codici QR per URL lunghi tendono ad essere più scomodi da gestire, se puoi ancheottenere la risoluzione della fotocamera e il software per gestirli. Detto questo, è ancora una pessima idea usare un accorciatore di URL di TERZE PARTI per questo.
@onurcanbektas - Solo Google ** codici di lancio nucleare 00000000 ** e avrai molti riferimenti.
@Nzall - Sì, ne sono consapevole.Era solo una battuta.Chiedo scusa a tutti per aver inavvertitamente fatto deragliare l'argomento.
Pensavo fosse scoraggiato fare clic sui collegamenti nelle e-mail delle banche?Sono abbastanza sicuro che mi è stato detto di aprire il mio browser web e di digitare il loro URL da solo, in particolare per evitare collegamenti ipertestuali a siti Web fasulli nascosti da testo come "questo collegamento"
@craq Dipende, ma questo renderebbe altrettanto dannosi gli accorciatori di URL.Ho pensato che * volessero * inviare link via e-mail.
@MechMK1 Penso che la domanda sia un problema XY.Le banche non dovrebbero usare l'accorciamento dei collegamenti, ma in realtà non dovrebbero inviare alcun collegamento nelle e-mail.Ecco perché voto positivamente la risposta di F. Hauri
A meno che tu non usi regolarmente `ac.me` per tutti i tuoi collegamenti, come dovrebbero i tuoi utenti sapere che è di proprietà di` acme.com`?In altre parole, l'utilizzo di un nome di dominio noto che chiaramente ti appartiene è probabilmente più importante per questo caso d'uso di URL brevi e convenienti (anche se ovviamente un'organizzazione competente potrebbe facilmente avere entrambi; avere una macchina genera etichette lunghe e prive di significato peril consumo umano è solo pigro e stupido).
@Steve, infatti, se è il tuo sito, crea solo un collegamento memorabile.Un collegamento un po 'più lungo ma memorabile è migliore di tinyu.rl / bFlmPSvZ.Gli abbreviazioni sono per i casi in cui si desidera, ad esempio, fornire un collegamento al documento di qualcun altro che non ha un breve URL in una nota a piè di pagina in un giornale stampato.
Anonymous
2020-04-15 19:31:46 UTC
view on stackexchange narkive permalink

È meglio per una banca / servizio finanziario ospitare questo tipo di collegamento breve al servizio di traduzione di collegamenti lunghi sul proprio dominio e infrastruttura?

Penso che la domanda contenga la risposta. Per me, la risposta è un clamoroso sì: un accorciatore di URL dovrebbe utilizzare un nome di dominio che è di proprietà e controllato dalla "banca". La posta in gioco è troppo alta qui.

Oltre alla risposta molto completa di MechMK1, dobbiamo tenere presente che qualsiasi servizio legittimo, prima ancora che fallisca, può anche essere violato (e molto probabilmente, verrà violato), soprattutto quando fornisce un trampolino di lancio per un target succoso.

Ai consumatori è stato insegnato a diffidare del phishing e se la banca respinge quel consiglio utilizzando un URL che i clienti non conoscono, semineranno sfiducia e confusione. Potresti persino aspettarti che un numero di client riporti la posta come possibile falsificazione. L'assistenza clienti dovrebbe essere abbastanza impegnata e non dovrebbe avere a che fare con problemi autoinflitti.

Per riassumere, se vogliono un accorciatore probabilmente non sarà così breve come t.co, ma potrebbe essere abbastanza breve per lo scopo (ad es. evitare l'interruzione di riga nell'e-mail). Se davvero insistono, potrebbero acquistare un nome di dominio breve in .com o un'estensione del codice paese, ma non è ancora una buona idea. Perché chiunque può acquistare un nome di dominio e falsi dati whois. I dati whois di per sé non dimostrano che la banca possieda e controlli effettivamente il nome di dominio. Il punto è che dovresti avere una strategia di denominazione e marchio coerente e in qualche modo prevedibile. Ciò significa, attenersi ai nomi di dominio che sono già conosciuti e considerati affidabili dalla base di clienti.

Supponiamo che esista una banca / servizio finanziario che desidera avere collegamenti ipertestuali sul proprio sito web / dominio sicuro (o anche nelle e-mail che inviano ai clienti). In alcuni di questi collegamenti sono presenti URL lunghi / oscuri che collegano a uno dei loro sottodomini, ma i collegamenti lunghi sono brutti e non molto user friendly, quindi vogliono avere link più brevi e più belli da inserire nel sito web o nell'email.

Abbiamo diversi casi d'uso qui. Per i siti web, l'utilizzo di URL descrittivi è normale e di solito è per motivi SEO. Se alcuni URL sono troppo lunghi, riscrivili o alias. Ad esempio, prova a non avere più di 3 parole chiave nell'URL e scegli la più pertinente. Un accorciatore non è la risposta qui. Ma puoi avere sottodomini.

Per la pubblicità , i nomi brevi sono davvero essenziali se i consumatori li digitano . Ma devono anche essere memorabili . Più corto non è sempre meglio: www.thebank.com/invest è ancora più facile da ricordare di t.co/Ba21dQ22 . Ma è per questo che abbiamo i codici QR: per evitare che le persone digitino URL.

Infatti, se la "banca" utilizza già sottodomini, potrebbe assegnarne uno solo per i reindirizzamenti. E poi aggiungi un parametro breve nella stringa di query come un numero.

Per le e-mail, non vuoi URL lunghi perché possono essere troncati dall'interruzione di riga. Se si invia un messaggio di posta elettronica HTML, questo non è un problema in realtà, perché un lungo collegamento ipertestuale può essere incorporato in una breve parola chiave. Il problema è il testo E-mail o client di posta elettronica che non riproducono HTML, e non ce ne sono così tanti al giorno d'oggi .

Quindi che tipo di problema stai cercando di risolvere ? La mia impressione generale è che l'accorciatore sia principalmente un gadget di marketing e che la giusta linea di condotta sia migliorare ciò che già esiste. Se hai URL brutti, prenditi il ​​tempo di esaminarli, abbellirli, accorciarli. Un URL breve può essere conveniente ma non è "carino".

Ángel
2020-04-16 08:47:54 UTC
view on stackexchange narkive permalink

Oltre alle altre risposte, vorrei sottolineare che le comunicazioni da un finanziario devono essere facilmente verificabili per l'utente.

Supponiamo che un cliente riceva un sms / email:

LA TUA BANCA: il tuo acquisto è andato a buon fine. Maggiori informazioni https://bit.ly/2VBP5iK

È legittimo o no? Anche se al loro team IT, quell'URL in sé non fornisce alcun contesto, richiedendo loro di scavare in qualsiasi URL a cui reindirizza. E a volte anche loro non sarebbero in grado di accertare se sia legittimo o meno, ad es. quando il reparto marketing della banca decide di lanciare una campagna su yourbank-campaign.com invece di utilizzare il proprio dominio (e quindi essere rilevato come phishing per yourbank.com).

Anche se https: / /bit.ly/2VBP5iK ora porta a https://yourbank.com/sign-in:

  • Non saprebbero chi l'ha creato accorciatore. Anche se reindirizza a una pagina legittima adesso , l'autore potrebbe in seguito cambiarla in una pagina di phishing. Cambiare l'URL di destinazione tra la pagina legittima e quella di phishing sarebbe un ottimo modo per confondere i team di sicurezza.
  • Stai insegnando ai tuoi utenti che i collegamenti bitly dalla tua banca sono OK. Anche se qualsiasi miscredente potrebbe creare uno di quelli che puntano a phishing nella tua entità.

E se acquisti un nuovo dominio (ad es. https: //yourba.nk/) da utilizzare come abbreviazione, inserisci nella radice del sito un testo come

Questo è l'abbreviazione ufficiale di yourbank.com. Tutte le voci qui portano ai servizi ufficiali della tua banca. Vedi https://yourbank.com/faq#shortener

con la pagina https://yourbank.com/faq#shortener (al sito principale ), collegato da esso a conferma delle stesse informazioni.

Tuttavia, gli utenti penseranno che porti a una pagina di phishing, una lista nera che aggiunge un URL da https: //yourba.nk/ e così via, ma avere un dominio chiaro che può essere inserito nella whitelist e le informazioni corrette prontamente disponibili saranno di grande aiuto.

Tieni presente che, sebbene consideri un must possedere tu stesso il dominio shortener, in realtà l'hosting del dominio potrebbe essere delegato a una terza parte come un po ', invece di farlo nell'infrastruttura della banca. Ciò condividerebbe solo alcune delle preoccupazioni menzionate da altre risposte (come la società di abbreviazioni che viene compromessa e reindirizza [alcuni] i tuoi clienti da qualche altra parte). Tuttavia, sebbene possa essere un servizio utile per un altro tipo di azienda, per una banca il costo aggiuntivo dell'hosting di un servizio di accorciamento privato sarebbe trascurabile rispetto a quello della loro pagina normale a cui si rivolgeranno quei reindirizzamenti. Quindi non lo ospiterei nemmeno al di fuori della mia infrastruttura.

Nota: yourbank.com è un nome di dominio funzionante per Pendleton Community Bank, quindi potresti voler utilizzare un URL diverso per evitare problemi se finiscono per implementare questi collegamenti.
"Stai addestrando i tuoi utenti a dire che i collegamenti bit dalla tua banca sono OK." Questo, IMO è il rischio più grande in quanto è il più facilmente sfruttabile.Non è se Bitly cessi dal mercato o scada, ma se qualcuno può creare `https: // bit.ly / new-lloyds-business-accounts` e sembra legittimo come se provenisse da te, sei solo_asking_ per convincere i tuoi clienti a phishing
@anotherdave concordato.Sarebbe leggermente diverso se, ad esempio, il governo degli Stati Uniti configurasse un servizio di abbreviazione di URL su "https: // bank.gov" che potrebbe essere utilizzato solo da istituti finanziari ufficialmente registrati e controllati.
@Chronocidal C'è un [.bank] (https://icannwiki.org/.bank) tld che potrebbe essere usato in questo modo.
Per favore, non fare https: //yourba.nk/ a meno che il tuo dominio principale non sia eccessivamente lungo.È solo inutile.Hai abbastanza spazio per scrivere https://yourbank.com/go/1234
Non solo, potrebbero nascondere il collegamento, quindi quando qualcuno dall'intervallo IP della banca fa clic sul collegamento, va alla pagina della banca dove dovrebbe.Ti invia al link truffa solo se il tuo IP ha caricato di recente un'immagine 1x1 pixel che era nell'e-mail, proviene da un paese straniero, qualunque cosa.
F. Hauri
2020-04-17 05:01:44 UTC
view on stackexchange narkive permalink

Non importa, odio l'idea di inviare un URL ragionevole per posta!

Quando i miei partner finanziari hanno qualcosa da comunicare, mi aspetto qualcosa del tipo:

Alcuni documento sono memorizzati sul tuo conto presso la tua banca. Utilizza i tuoi dati di accesso regolari per collegare la casella dei messaggi del tuo account.

Nel caso in cui hai dimenticato il tuo accesso, utilizza il link scritto sull'ultima bolletta o chiamaci al numero che potresti trovare in fondo all'ultima bolletta.

L'utilizzo del collegamento nell'e-mail porta a molte cose dannose come un URL falso utilizzando lettere UTF-8 come dominio, come Y0urbank.com o y ⲟ urbank.com (con & # 11423; as ⲟ) e così via.

Da lì, l'URL forte potrebbe semplicemente figurare sul sito web della banca o nel mio spazio privato una volta effettuato l'accesso, come link href semplice. 

  `<a href =" https: yourbank.com/complexUrl%20Holding%20Lot_of_characters ">The link< / a>
Grazie, questa è l'unica risposta finora che risolve il problema XY nella domanda.Ho conti con 4 banche in un paio di paesi e tutte hanno detto qualcosa del tipo "non ti invieremo mai un link in un'e-mail, usa sempre un segnalibro o un motore di ricerca o digita tu stesso l'URL".Inoltre utilizzano tutti sistemi di messaggistica interni perché la posta elettronica semplicemente non è sicura.Qualcuno può persino intercettare l'e-mail durante il percorso e modificare il collegamento.
R.. GitHub STOP HELPING ICE
2020-04-16 05:37:24 UTC
view on stackexchange narkive permalink

No. Nessuno dovrebbe. Non sono sotto il tuo controllo e possono essere reindirizzati a discrezione di un'altra parte. Possono anche essere utilizzati per compromettere la privacy del destinatario / cliente. Non vi è alcuna legittima necessità di tali servizi. Se vuoi davvero URL brevi, esegui la tua implementazione (è banale da fare) sul tuo dominio. Altrimenti usa solo quelli normali.

Esistono usi legittimi per tali servizi, ma implicano sempre il collegamento a * altri * siti oltre al proprio e, in molti casi, non possiedono affatto il proprio.Inoltre coinvolgono sempre la carta stampata, non la posta elettronica o il web.
Harper - Reinstate Monica
2020-05-06 21:13:50 UTC
view on stackexchange narkive permalink

L'URL non è diventato brutto da solo

La business unit all'interno della banca ha creato il sito web. Sono loro che hanno scelto la piattaforma web e l'URL. Sono loro che l'hanno progettato per essere un URL rivolto al cliente che deve uscire nella comunicazione pubblica.

Quindi il reparto marketing deve respingere quella business unit e dire "no no no, se vuoi che questo URL venga trasmesso ai clienti, fallo non 277 caratteri".

Quindi il loro webmaster farebbe tutto ciò che è necessario affinché ciò avvenga, ad es. un redirector interno (in effetti un TinyURL all'interno della business unit).



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...