Question:
Une banque / un service financier doit-il utiliser des services de raccourcissement d'URL externes?
hPNJ7MHTyg
2020-04-15 14:25:37 UTC
view on stackexchange narkive permalink

Supposons qu'un service bancaire / financier souhaite disposer d'hyperliens sur son site Web / domaine sécurisé (ou même dans les e-mails qu'il envoie aux clients). Certains de ces liens contiennent des URL longues / obscures qui renvoient à l'un de leurs sous-domaines, mais les liens longs sont laids et pas très conviviaux, ils veulent donc avoir des liens plus courts et plus agréables à mettre sur le site Web ou par courrier électronique.

  • Quels sont les risques pour une banque / un service financier utilisant un service de raccourcissement d'URL externe, par exemple Bitly, pour cela?
  • Est-il préférable pour une banque / un service financier d'héberger ce type de service de traduction de lien court vers long lien sur son propre domaine et infrastructure?
L'utilisation de raccourcisseurs d'URL est une pratique courante dans les escroqueries pour masquer le domaine, ce qui est évidemment différent de celui que les fraudeurs usurpent.Si la banque utilise souvent des raccourcisseurs d'URL, ses clients sont plus susceptibles de cliquer sur les URL raccourcies des fraudeurs.
Si ma banque commence à utiliser des raccourcisseurs d'URL masquant le nom de domaine, je la laisserai tomber.Il existe de nombreuses façons internes de résoudre ce problème, l'externe est un risque majeur.
Si vous pouvez héberger cela en interne, pourquoi utiliser la version longue, du tout?- Et, aussi, si un agent externe peut raccourcir vos URL, pourquoi pas vous?- De plus, les URI sympas ne changent pas!
Quelle est la raison d'utiliser des URI et des sous-domaines longs et / ou obscurs, de toute façon?Vous devriez avoir un schéma d'URI concis, immuable (ou au moins extensible) pour tout traiter.Le fonctionnement interne de la diffusion du contenu ne devrait cependant jouer aucun rôle à cet égard.
Il convient de noter que certaines banques [ont même leurs propres TLD] (https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains#Brand_top-level_domains), ce qui faciliterait les URL courtes de marque.
Si Amazon, au quotidien, peut gérer des URL d'une taille de 2 kilo-octets sans aucune raison valable, quel est le problème, de toute façon?
Je pense que c'est bien si vous hébergez votre propre raccourcisseur de liens, sur votre propre domaine, en utilisant évidemment des HTTP et en utilisant un certificat désignant clairement le nom de votre banque.N'entraînez pas les utilisateurs à cliquer sur des liens étrangers.
Je déteste dire, mais cela devient populaire parmi les banques à cause des services bancaires par SMS et WhatsApp.Ils utilisent beaucoup les raccourcisseurs d'URL là-bas.
Étant donné que les développeurs de la banque (et plus important encore leur gestion du développement) semblent manquer de compétences pour enregistrer et contrôler les noms de domaine, et la tâche simpliste de traduire les URL, je ne peux pas dire que je leur ferais confiance pour faire quoi que ce soit - et encore moins"gérer" mon argent.
En fin de compte, les banques ne doivent JAMAIS envoyer d'URL "cliquables"
Six réponses:
MechMK1
2020-04-15 15:39:34 UTC
view on stackexchange narkive permalink

Dans certains de ces liens, il y a des URL longues / obscures qui renvoient à l'un de leurs sous-domaines, mais les liens longs sont laids et pas très conviviaux, ils veulent donc avoir des liens plus courts et plus agréables à mettre le site Web ou l'e-mail.

Les utilisateurs n'ont généralement plus à saisir d'URL depuis au moins quelques décennies. En fait, si vous jetez un œil à ce lien, vous verrez qu'il est vraiment long et pourtant vous n'avez pas besoin de le saisir. Généralement, les raccourcisseurs d'URL ne sont utiles que si vous devez transmettre une URL via un support qui ne prend pas en charge les hyperliens, comme l'impression sur papier. Et même là, les codes QR sont progressivement mis en œuvre de plus en plus pour résoudre ce problème précis.

Quels sont les risques liés à l'utilisation d'un service externe pour ce faire?

Webcomic showing the dangers of URL shorteners, Source: xkcd.com/1698/

Source: Randall Munroe, xkcd / 1698, sous licence CC-BY-NC 2.5 sup >

En utilisant des raccourcisseurs d'URL, vous promettez que cette URL sera liée à une source digne de confiance. Tant que le raccourcisseur d'URL de votre choix fonctionne et reste digne de confiance, cela fonctionne. Cependant, une fois le temps écoulé, ce raccourcisseur d'URL peut cesser ses activités et ce domaine sera à nouveau mis en vente. À partir de là, vous ne pouvez plus garantir si ces anciennes URL fonctionneront (elles ne le seront probablement pas), ou ce qui se passera si les utilisateurs les visitent. Rappelez-vous qu'aux yeux d'un utilisateur, ce lien vient de vous, donc ils auront confiance que tout ce qui se trouve sur ce site provient de vous - même si ce n'est peut-être pas le cas.

Cela s'est-il produit dans la pratique? Oui. Sous Windows XP, le lecteur Windows Media n'est pas fourni avec la licence requise pour lire les fichiers WMV protégés par DRM. Heureusement pour l'utilisateur, le lecteur Windows Media a l'URL pour obtenir la licence codée en dur. Malheureusement pour l'utilisateur, cette URL ne pointe plus vers Microsoft, mais plutôt vers un distributeur de logiciels malveillants. Tout utilisateur qui utilise encore Windows XP et souhaite lire un fichier WMV protégé par DRM sera redirigé vers un logiciel malveillant par le lecteur multimédia intégré de son système d'exploitation , uniquement à cause des raccourcisseurs d'URL.

Une meilleure solution

Si vous distribuez des liens uniquement numériquement, peu importe la longueur des URL. Les utilisateurs cliquent simplement sur le bouton et c'est tout. Si vous avez vraiment besoin de distribuer des URL dans un format non cliquable, comme des publicités télévisées ou des médias imprimés, créez votre propre raccourcisseur d'URL. Si ACME Corp. propose un nouveau produit appelé "Ultra-Gigatron 9001", alors créez l'URL ac.me/ug9001 . Si cela ne fonctionne pas, rendez-le acme.com/ug9001 . Les sous-domaines sont gratuits, tout comme les noms de chemin. Sachez simplement que cette URL doit être active tant que vous vous attendez à ce que les gens la saisissent.

Ironiquement, et contrairement au xkcd, pendant environ 15 ans, le code de lancement nucléaire était un ** 00000000 ** bien connu.Pas le point que je connais, juste anecdotique.
Notez que le SMS est un cas particulier encore actuel de durée limitée.
Êtes-vous sûr que la vulnérabilité DRM de Windows XP est liée à un raccourcisseur d'URL?Pouvez-vous fournir une source pour ces informations?Je n'ai trouvé que https://docs.microsoft.com/en-us/security-updates/securityadvisories/2005/892313 et https://news.softpedia.com/news/ten-years-later-you-can-still-get-malware-via-le-windows-media-player-drm-508031.shtml
@user10216038 comment le savez-vous?Pouvez-vous donner des références?
@RazvanSocol Peut-être que je faisais référence à cette vulnérabilité.Cela fait longtemps.Je modifierai ceci quand j'aurai le temps
Les codes de lancement @user10216038 Nuclear sont pratiquement inutiles sans accès à Air Force One, au Nuclear Football, au Mont Cheyenne ou à tout autre endroit où vous pouvez les utiliser.Ce n'est pas comme si vous pouviez cliquer sur une demande GET et lancer accidentellement un missile nucléaire.
* "Les codes QR sont de plus en plus implémentés pour résoudre ce problème précis." * - C'est exactement là où un raccourcisseur d'URL est susceptible d'être utilisé - les codes QR pour les URL longues ont tendance à être plus difficiles à gérer - si vous pouvez mêmeobtenir la résolution de la caméra et le logiciel pour les gérer. Cela dit, c'est toujours une mauvaise idée d'utiliser un raccourcisseur d'URL TIERS pour cela.
@onurcanbektas - Juste Google ** codes de lancement nucléaire 00000000 ** et vous aurez de nombreuses références.
@Nzall - Oui, j'en suis conscient.C'était juste une boutade.Je m'excuse auprès de tous d'avoir fait dérailler le sujet par inadvertance.
Je pensais qu'il était découragé de cliquer sur des liens dans les e-mails des banques?Je suis à peu près sûr qu'on m'a dit d'ouvrir mon navigateur Web et de taper moi-même leur URL, en particulier pour éviter les hyperliens vers de faux sites Web masqués par du texte comme "ce lien"
@craq Cela dépend, mais cela rendrait les raccourcisseurs d'URL tout aussi mauvais.J'ai supposé qu'ils * voulaient * envoyer des liens par e-mail.
@MechMK1 Je pense que la question est un problème XY.Les banques ne devraient pas utiliser de raccourcissement de lien, mais elles ne devraient vraiment pas envoyer de liens dans les e-mails.C'est pourquoi je vote pour la réponse de F.Hauri
À moins que vous n'utilisiez régulièrement «ac.me» pour tous vos liens, comment vos utilisateurs sont-ils censés savoir qu'il appartient à «acme.com»?En d'autres termes, utiliser un nom de domaine bien connu qui vous appartient clairement est probablement plus important pour ce cas d'utilisation que des URL courtes et pratiques (bien que, bien sûr, une organisation compétente puisse facilement avoir les deux; avoir une machine génère des étiquettes longues et dénuées de sens pourla consommation humaine est juste paresseuse et stupide).
@Steve, en effet, si c'est votre site, créez simplement un lien mémorable.Un lien un peu plus long mais mémorable est meilleur que tinyu.rl / bFlmPSvZ.Les raccourcisseurs sont pour les cas où vous voulez, par exemple, donner un lien vers l'article de quelqu'un d'autre qui n'a pas une URL courte dans une note de bas de page dans un journal imprimé.
Anonymous
2020-04-15 19:31:46 UTC
view on stackexchange narkive permalink

Est-il préférable pour une banque / service financier d'héberger ce type de service de traduction de lien court vers un lien long sur son propre domaine et infrastructure?

Je pense que la question contient la réponse. Pour moi, la réponse est un oui catégorique: un raccourcisseur d'URL doit utiliser un nom de domaine qui est détenu et contrôlé par la «banque». Les enjeux sont trop importants ici.

En plus de la réponse très complète de MechMK1, nous devons garder à l'esprit que tout service légitime, avant même de cesser ses activités, peut également être piraté (et très probablement, sera piraté), en particulier quand il fournit un tremplin vers une cible juteuse.

Les consommateurs ont appris à se méfier du phishing , et si la banque rejette ce conseil en utilisant une URL que les clients ne connaissent pas, ils sèmeront la méfiance et la confusion. Vous pouvez même vous attendre à ce qu'un certain nombre de clients signalent le courrier comme une possible falsification. Le support client est censé être assez occupé et ne devrait pas avoir à faire face à des problèmes auto-infligés.

Pour résumer, s'ils veulent un raccourcisseur, ce ne sera probablement pas aussi court que t.co, mais pourrait être assez court pour cela (par exemple éviter les sauts de ligne dans les e-mails). S'ils insistent vraiment, ils pourraient acheter un nom de domaine court en .com ou une extension de code de pays, mais ce n'est toujours pas une bonne idée. Parce que n'importe qui peut acheter un nom de domaine et de fausses données whois. Les données whois en elles-mêmes ne prouvent pas que la banque possède et contrôle effectivement le nom de domaine. Le fait est que vous devez avoir une stratégie de marque et de dénomination cohérente et quelque peu prévisible. Cela signifie, tenez-vous-en aux noms de domaine déjà connus et approuvés par votre clientèle.

Supposons qu'un service bancaire / financier souhaite disposer d'hyperliens sur son site Web / domaine sécurisé (ou même dans les e-mails qu'ils envoient aux clients). Certains de ces liens contiennent des URL longues / obscures qui renvoient à l'un de leurs sous-domaines, mais les longs liens sont laids et pas très convivial, ils veulent donc avoir des liens plus courts et plus agréables à mettre sur le site Web ou par e-mail.

Nous avons ici différents cas d'utilisation . Pour les sites Web, l'utilisation d'URL descriptives est quelque chose de normal, généralement pour des raisons de référencement. Si certaines URL sont trop longues, réécrivez-les ou alias-les. Par exemple, essayez de ne pas avoir plus de 3 mots clés dans l'URL et choisissez le plus pertinent. Un raccourcisseur n'est pas la réponse ici. Mais vous pouvez avoir des sous-domaines.

Pour la publicité , les noms courts sont en effet indispensables pour que les consommateurs les saisissent . Mais ils doivent aussi être mémorables . Plus court n'est pas toujours meilleur: www.thebank.com/invest est encore plus mémorable que t.co/Ba21dQ22 . Mais c'est pourquoi nous avons des codes QR: pour éviter aux gens de taper des URL.

En fait, si la «banque» utilise déjà des sous-domaines, elle pourrait en attribuer un uniquement pour les redirections. Et puis ajoutez un paramètre court dans la chaîne de requête comme un nombre.

Pour les e-mails, vous ne voulez pas d'URL longues car elles peuvent être coupées par le saut de ligne. Si vous envoyez un e-mail HTML, ce n'est pas vraiment un problème, car un long lien hypertexte peut être incorporé dans un mot clé court. Le problème est que les clients de messagerie texte ou de messagerie électronique ne rendent pas le HTML, et il n'y en a pas tellement de nos jours .

Alors, quel type de problème essayez-vous de résoudre ? Mon impression générale est que le raccourcisseur est principalement un gadget marketing et que la bonne marche à suivre est d'améliorer ce qui existe déjà. Si vous avez des URls laides, prenez le temps de les revoir, de les embellir, de les raccourcir. Une URL courte peut être pratique mais n'est pas «jolie».

Ángel
2020-04-16 08:47:54 UTC
view on stackexchange narkive permalink

En plus des autres réponses, je voudrais souligner que les communications d'un financier doivent être facilement vérifiables pour l'utilisateur.

Imaginons qu'un client reçoive un sms / e-mail:

VOTREBANQUE: Votre achat a réussi. En savoir plus https://bit.ly/2VBP5iK

Est-ce légitime ou non? Même si c'est à leur équipe informatique, cette URL elle-même ne fournit aucun contexte, ce qui les oblige à fouiller dans les URL vers lesquelles elle redirige. Et parfois, même eux ne seraient pas en mesure de déterminer si cela est légitime ou non, par ex. lorsque le service marketing de la banque décide de lancer une campagne sur yourbank-campaign.com plutôt que d'utiliser son domaine (et donc d'être détecté comme un hameçonnage sur yourbank.com).

Même si https: / /bit.ly/2VBP5iK mène désormais à https://yourbank.com/sign-in:

  • Ils ne sauraient pas qui a créé cela raccourcisseur. Même s'il redirige vers une page légitime maintenant , l'auteur pourra plus tard la changer en page de phishing. Changer l'URL cible entre la page légitime et une page de phishing serait un excellent moyen de semer la confusion chez les équipes de sécurité.
  • Vous apprenez à vos utilisateurs que les liens bitly de votre banque sont corrects. Alors que n'importe quel malfaiteur pourrait créer l'un de ceux qui pointent vers un hameçonnage vers votre entité.

Et si vous achetez un nouveau domaine (par exemple https: //yourba.nk/) pour utiliser comme raccourcisseur, placez dans la racine du site un texte comme

Ceci est le raccourcisseur officiel de yourbank.com. Toutes les entrées ici mènent aux services officiels de votre banque. Voir https://yourbank.com/faq#shortener

Avec la page https://yourbank.com/faq#shortener (sur le site principal ), lié à partir de celui-ci confirmant les mêmes informations.

Vous vous retrouverez néanmoins avec des utilisateurs pensant que cela conduit à une page de phishing, une liste noire ajoutant une URL à partir de https: //yourba.nk/, etc., mais avoir un domaine clair qui peut être ajouté à la liste blanche et les informations adéquates facilement disponibles vous aidera beaucoup.

Notez que même si je considérerais que posséder le domaine raccourcisseur vous-même est indispensable, l'hébergement du domaine pourrait être délégué à un tiers comme bitly, au lieu de le faire dans l'infrastructure bancaire. Cela ne partagerait que quelques-unes des préoccupations que d'autres réponses ont mentionnées (comme la compromission de la société de raccourcissement et la redirection de [certains de] vos clients ailleurs). Cependant, bien qu'il puisse être un service utile pour un autre type d'entreprise, pour une banque, le coût supplémentaire d'hébergement d'un service de raccourcissement privé serait négligeable par rapport à celui de leur page normale que ces redirections cibleront. Je ne l'hébergerais donc pas non plus en dehors de mon infrastructure.

Remarque: yourbank.com est un nom de domaine fonctionnel pour la Pendleton Community Bank, vous pouvez donc utiliser une URL différente pour éviter des problèmes s'ils finissent par implémenter ces liens.
«Vous apprenez à vos utilisateurs que les liens bitly de votre banque sont OK.» - Ceci, l'OMI est le plus grand risque car c'est le plus facilement exploitable.Il ne s'agit pas de savoir si Bitly cesse ses activités ou expire, mais si quelqu'un peut créer `https: // bit.ly / new-lloyds-business-accounts` et cela semble tout aussi légitime que si cela venait de vous, vous êtes juste_asking_ pour que vos clients soient hameçonnés
@anotherdave D'accord.Ce serait légèrement différent si, par exemple, le gouvernement américain mettait en place un service de raccourcissement d'URL sur `https: // bank.gov` que seules les institutions financières officiellement enregistrées et auditées pourraient utiliser.
@Chronocidal Il existe un tld [.bank] (https://icannwiki.org/.bank) qui pourrait être utilisé de cette façon.
Veuillez ne pas faire https: //yourba.nk/ à moins que votre domaine principal ne soit excessivement long.C'est juste inutile.Vous avez assez d'espace pour écrire https://yourbank.com/go/1234
Non seulement cela, ils pourraient masquer le lien, donc quand quelqu'un de la plage d'adresses IP de la banque clique sur le lien, il accède à la page de la banque où il est censé aller.Il ne vous envoie au lien d'escroquerie que si votre adresse IP a récemment chargé un graphique 1x1 pixel qui était dans l'e-mail, provient d'un pays étranger, peu importe.
F. Hauri
2020-04-17 05:01:44 UTC
view on stackexchange narkive permalink

Peu importe, je déteste l'idée d'envoyer une URL sensible par courrier!

Lorsque mes partenaires financiers ont quelque chose à communiquer, j'attends quelque chose comme:

Certains document sont stockés sur votre compte auprès de votre banque. Veuillez utiliser votre identifiant habituel pour connecter la boîte de message de votre compte.

Si vous avez oublié votre identifiant, utilisez le lien inscrit sur votre dernière facture ou appelez-nous au numéro que vous trouverez au bas de votre dernière facture.

L'utilisation d'un lien dans un e-mail conduit à beaucoup de choses malveillantes comme une fausse URL utilisant des lettres UTF-8 comme domaine, comme Y0urbank.com ou y ⲟ urbank.com (avec & # 11423; comme ⲟ) et ainsi de suite.

À partir de là, une URL forte pourrait simplement figurer sur le site Web de la banque ou dans mon espace privé une fois connecté, comme lien href simple. 

  `<a href =" https: yourbank.com/complexUrl%20Holding%20Lot_of_characters ">The link< / a>
Merci, c'est la seule réponse à ce jour qui résout le problème XY dans la question.J'ai des comptes avec 4 banques dans quelques pays et toutes ont dit quelque chose comme "nous ne vous enverrons jamais de lien dans un e-mail, utilisez toujours un signet ou un moteur de recherche ou tapez l'URL vous-même".Ils utilisent également tous des systèmes de messagerie internes car le courrier électronique n'est tout simplement pas sécurisé.Quelqu'un peut même intercepter l'e-mail en cours de route et modifier le lien.
R.. GitHub STOP HELPING ICE
2020-04-16 05:37:24 UTC
view on stackexchange narkive permalink

Non. Personne ne devrait. Ils ne sont pas sous votre contrôle et peuvent être redirigés à la discrétion d'une autre partie. Ils peuvent également être utilisés pour compromettre la vie privée du destinataire / de votre client. Il n'y a aucun besoin légitime de tels services. Si vous voulez vraiment des URL courtes, exécutez votre propre implémentation (c'est simple à faire) sur votre propre domaine. Sinon, utilisez simplement les normales.

Il existe des utilisations légitimes de ces services, mais ils impliquent toujours des liens vers des sites * autres * que le vôtre et, dans de nombreux cas, ne pas avoir vraiment le vôtre.Ils impliquent également toujours des médias imprimés, et non le courrier électronique ou le Web.
Harper - Reinstate Monica
2020-05-06 21:13:50 UTC
view on stackexchange narkive permalink

L'URL n'est pas devenue moche en elle-même

L'unité commerciale de la banque a créé le site Web. Ce sont eux qui ont choisi la plate-forme Web et l'URL. Ce sont eux qui l'ont conçu pour être une URL orientée client qui doit sortir dans la communication publique.

Le service marketing doit donc repousser cette unité commerciale et dire "non non non, si vous voulez que cette URL soit envoyée aux clients, indiquez-la pas à 277 caractères".

Ensuite, leur webmaster ferait tout ce qui est nécessaire pour que cela se produise, par exemple un redirecteur interne (en fait une TinyURL au sein de la business unit).



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...