Moritz MeißnerMar 11, 2023

Habt ihr Erfahrungen mit #Wordpress #Plugins für das Erstellen von personalisierten Links (zB mit PrettyLinks oder Redirect)?

Gibt es etwas, das dafür oder dagegen spricht? Habt ihr ein anderes/besseres Plugin? #clcdooo @khpape @stk @achimschmidt @tmz

Show threadStefan KremerMar 11, 2023
@achimschmidt @momeissn @tmz @khpape was genau meinst du mit personalisierten links?
Show threadMoritz MeißnerMar 11, 2023

@stk @achimschmidt @tmz @khpape
Das ist ein Bsp dazu von @FrankGerich (Screenshot).

Ps: das nächste Termin ist übrigens am 08.04. von 13-14 Uhr. 😃

Show threadStefan KremerMar 12, 2023
@FrankGerich @achimschmidt @tmz @khpape @momeissn Verstehe. Aber wozu? Für SEO hat's keinen Wert. Unter Sicherheitsaspekten kann hinter solchen URL Shortener auch mal Unheil stecken (sprich wird ggf. auch mal von einem Mailserver ausgefiltert wenn via Mail verbreitet). Bau ordentliche slugs und gut ist's. My 2 cents.
Show threadFrank GerichMar 14, 2023
@stk @achimschmidt @tmz @khpape @momeissn Stefan, für Blog-Artikel stimme ich dir 100% zu. Wir nutzen die kurzen Links für Trainings. Indem wir die eigene HomePage nutzen, ist die Kontrolle in unserer Hand. Die Struktur hilft den Teilnehmern bei der Orientierung. Für neue Trainings werden die Links zu Teams oder zu Conceptboard zentral auf der HomePage erneuert.
Show threadTobias MZMar 14, 2023
@FrankGerich @stk @achimschmidt @khpape @momeissn
Der Nutzen ist doch, finde ich, schnell und einfach Blogartikel teilen zu können, bzw. Links. tmzl.de/blocker kann ich mir als Link zu Viva Insights z.B. merken, den tatsächlichen Pfad nicht.
Show threadStefan KremerMar 14, 2023
@tmz @FrankGerich @achimschmidt @khpape @momeissn Ich hab da mal was zu geschrieben: https://tinyurl.com/3sp5wt78 Das macht die Problematik glaube ich klar.
Show threadMoritz Meißner
@stk @tmz @FrankGerich @achimschmidt @khpape 😅
Mar 14, 2023 at 11:54amWeb
Show threadTobias MZMar 14, 2023
@momeissn @stk @FrankGerich @achimschmidt @khpape Als ob man Menschen nicht auch mit langen URLs ins Nirvana schicken könnte... 😉
Ich teile keine Phishing-Links, und ich bin mir Recht sicher, dass mein Zielpublikum das auch nicht vermutet, von daher betrifft mich das Argument nicht. 🤷🏻‍♂️
Show threadStefan KremerMar 15, 2023
@achimschmidt @FrankGerich @tmz @momeissn @khpape was wenn der shortener Service kompromittiert ist?
Show threadTobias MZMar 15, 2023

@stk @achimschmidt @FrankGerich @momeissn @khpape
a) sehr unwahrscheinlich
b) ich gehe bin einer grundsätzlichen Medienkompetenz meiner Linkbesucher aus.

Wir sieht denn da dein theoretisches Szenario aus? Jemand hackt den Dienst und Deine Besucher geben dann auf einer Phishing-Seite ihre Bankdaten ein? Wer so doof ist, überweist auch Geld an Prinzen in Afrika und sollte erst gar nicht im Netz unterwegs sein. 🤷🏻‍♂️

Show threadStefan KremerMar 15, 2023

@tmz @achimschmidt @FrankGerich @momeissn @khpape
a) Nur weil ein Dienst noch nicht aufgemacht wurde, heisst es nicht das er sicher ist.
b) ist diese Annahme einigermassen ignorant und wird dir im Zweifel wenn Haftungsfragen ins Gespräch kommen ggf. auch um die Ohren fliegen

Wie immer gilt: Es ist der DAU anzunehmen und Vorsicht ist die Mutter der Porzellankiste.

Show threadTobias MZMar 15, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape
Das heißt, Dein Szenario, das Du bisher übrigens nicht explizit genannt hast, ist, dass jemand Deinen kommerziellen URL Shortener hackt, um dann unter Deinem Account bösartige Links zu verteilen?
a) warum sollten sie sich die Mühe machen, wenn es mehr als genug kostenlose Link Shortener gibt, die auch noch bekannt (und damit verlockender) sind? Um in meinem Fall von der enormen Reputation der kurz-URL tmzl.de zu profitieren?
Show threadStefan KremerMar 16, 2023
@tmz @achimschmidt @FrankGerich @momeissn @khpape Eben weil genau solche vertrauensvolle Quellen wie dich für meinen Schmutz gewinnen kann.
Show threadTobias MZMar 16, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape
Ich benutze Kurzlinks seit sicher einem Jahrzehnt und weder wurde eine meiner Plattformen gehackt, noch ist es mir untergekommen, dass ich einen Kurzlink aus einer vertrauensvollen Quelle geklickt habe und dann wo bösartiges gelandet bin.
Theoretisch sicher möglich, aber meiner Meinung nach unnötige Panikmache.
Lieber überall unterschiedliche sichere Passwörter benutzen:
https://tmzl.de/passwoerter
#1 Warum gute Passwörter wichtig sind by (kein) Nerd Talk

Kennst du dich mit Passwörtern aus und bist damit zufrieden, wie du deine virtuelle Identität schützt? Wenn deine Antwort “Nein” lautet, geht es dir wie den meisten. Wir wissen, dass es nicht gut ist, einfache und kurze Passwörter zu verwenden und machen es trotzdem. In dieser Episode geben wir euc…

Show threadTobias MZMar 15, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape
b) da ist es viel einfacher, Deine Wordpress zu hacken und da direkte Links auf der Seite zum Phishen zu benutzen, wenn man Deine Infrastruktur nutzen will, weil Du so viele Besucher hast.
c) wenn ein Link Shortener gehackt wird und die Links gegen bösartige ausgetauscht werden würden, haftet sicher nicht der User. Zudem kannst Du ja einfach 2FA benutzen, wen Du Dir da Sorgen machst...
Show threadStefan KremerMar 16, 2023
@tmz @achimschmidt @FrankGerich @momeissn @khpape Meine WP Seiten hacken? Challenge accepted!
Show threadTobias MZMar 16, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape Ist nicht mein Hobby, aber vermutlich entschieden einfacher, als z.B. bit.ly zu hacken,
bzw., das ist ja anscheinend Dein Szenario, meinen Account beim Link-Shortener. Wer zu unvorsichtig ist, ein sicheres Passwort/2FA beim Link-Shortener zu nutzen, ist auch zu unvorsichtig, seine Wordpress-Installation aktuell und sicher zu halten. Die nächste Sicherheitslücke in Wordpress oder einem Deiner Plugins kommt bestimmt! 🤷🏻‍♂️
Show threadMoritz MeißnerMar 16, 2023

Meine Ausgangsfrage hat eine rege Diskussion angeregt und zeigt deutlich, dass das Thema "Short-Links" nicht trivial ist.

Vielen Dank für die interessanten Impulse @tmz @stk @achimschmidt @FrankGerich!

Wie so oft gibt es bei #CyberSecurity kein einfaches richtig oder falsch sondern es kommt darauf an.

Grundsätzlich ist der Hinweis vorsichtig zu sein immer gut. Wer die Second Level Domain nicht kennt, ist gut beraten nicht blind zu klicken. 🙏 #clcdooo @khpape

Show threadStefan KremerMar 15, 2023

@tmz @achimschmidt @FrankGerich @momeissn @khpape

Nochmal zu a)
- https://www.pcmag.com/news/url-shorteners-convenient-but-a-potential-security-risk
- https://security.stackexchange.com/questions/59517/are-url-shorteners-vulnerable-due-to-open-redirects

Wir sprechen also nicht im Konjunktiv

URL Shorteners: Convenient But a Potential Security Risk

If URLs are too short, they're easily guessable using brute-force techniques, which can expose users' data and identities.

PCMag
Show threadMoritz MeißnerMar 15, 2023

@stk @tmz @achimschmidt @FrankGerich @khpape #clcdooo
Wow. Hier hat sich zum Thema kurze Links eine spannende Diskussion entwickelt, die meinen Horizont wieder einmal erweitert hat. 🙌

Wie so oft im Internet gibt es extrem viele Graustufen & es ist super, zu wissen, wo es Probleme geben kann.

Danke für die Links!

Anbei noch zwei Anbieter mit denen man ShortLinks wieder lang machen kann, wenn man einen Link nicht traut:
https://checkshorturl.com/
http://unshorten.link

Your Free URL Unshortener Tool | Check Short URL

CheckShortURL is a tool that lets you preview and verify shortened links. Use it to see the original URL and a screenshot before you visit the destination.

Show threadTobias MZMar 15, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape
Meine Rede, aus dem ersten Artikel:
"In most instances that doesn't matter; maybe you're just shortening an online article URL to share on Twitter. However, two security researchers published a paper yesterday that details how Microsoft's OneDrive and Google's Maps services are easily exploited by this method."
Show threadTobias MZMar 15, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape
2. Link ist ein Forum, in dem jemand fragt, ob es ein Risiko ist. Geile Quelle.
"However, it's trivial for an attacker to create a phishing URL and get it shortened, thus "get[ting] users to visit malicious sites without realizing it"."
Klick einfach meine Kurzlinks nicht, wenn Du befürchtest , ich soll phishen.
Referenzen, die man anführt, sollte man schon gelesen, idealerweise verstanden haben. 🤷🏻‍♂️
Show threadStefan KremerMar 16, 2023
@tmz @achimschmidt @FrankGerich @momeissn @khpape Das "Forum" ist immerhin StackOverflow und der entscheidende Part ist die Frage nach OWASP. Beides nachblättern falls nicht bekannt. Und nochmal: es geht nicht um deine wohlmeindende Intention sondern darum, das der Link "entführt" werden kann.
Show threadTobias MZMar 16, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape keine Sorge, beides ist mir gut bekannt. In Stackoverflow kann jeder fragen, jeder antworten und und jeder die Antwort, die er am besten findet, nach oben befördern. Für Probleme beim Programmieren super, als Referenz für Sicherheit... fraglich. 😉
Aber auch dort geht es ja nur darum, was man damit machen kann. Dass man Schindluder damit treiben kann: klar. Wir diskutieren hier ja darüber, ob man sie deswegen selbst hosten sollte.
Show threadTobias MZMar 15, 2023
@stk @achimschmidt @FrankGerich @momeissn @khpape schöne Antwort auf die Frage in dem Forum:
"URL shorteners meet the definition of sites with open redirect vulnerability, yes, but it would be perverse to describe them as vulnerable when their sole purpose is to act as an open redirect."