loops and stretching with urlshorteners…

there has been some discussion (via @mstrohm) on the security of urlshorteners and i have been thinking about this the past days.

putting the problem of the bottle neck aside it leaves us with the possibility of spamming and/or loops and missing transparency when looking at urlshortening services. let’s say the advantage of shortening urls has to compensate one of the disadvantages; let’s take the bottle neck. it’s clear that one cannot shorten a url and expect the link to be independent or maybe distributed like DNS at the same time.

still there are 3 problems which have to be solved:

spamming: there are concepts which we know from mail services that can narrow this issue down. is.gd uses the surbl blacklisting service to check for spams. with a little fine tuning this is manageable.

loops: similar to the spamming problem, there must be a blocklist of sites that are not accepted for shortening. qr.cx already implements a list of about 200 services that are blocked from shortening. is.gd is saying so too, although they accepted qr.cx links and others at the time of writing. this is really easy to implement and should be done by every shortening service.

transparency: the problem here is that users cannot see where they are going when clicking a shortlink. the solution is again very easy to implement. tinyurl implements it by putting ‘preview’ as subdomain http://preview.tinyurl.com/m5l96j and qr.cx by putting ‘/get’ behind the shortlink: http://qr.cx/1r8/get.

curious as i am i decided Continue reading “loops and stretching with urlshorteners…”

Flattr this!

qr.cx url shortener…

mein kleiner url shortener aus diesem beitrag hat sich jetzt zu einem richtig grossen kleinen url shortener ausgewachsen.
qr_cx
qr.cx. zur zeit bietet er urls mit einer länge von 16 zeichen.
weiters habe ich eine kleine api aufgesetzt die euch helfen soll dieses service in andere applikationen zu integrieren. gerne nehme ich anregungnen und wünsche unter shorty [AT] qr [dot] cx entgegen.
als spezielles gimmick liefert das service QR-codes zu jedem gekürzten link.

have fun 😉

Flattr this!

url shortener DIY…

mich haben die url shortener aus dem letzten beitrag fasziniert. da hab ich mich hingesetzt und einen selbst geschrieben. flo.cx/s/ 🙂
die kurze domain flo.cx hilft dabei natürlich etwas…

das ganze ist im moment recht schnell gehackt und daher work in progress.
die grundfunktionsweise ist die gleiche wie bei den anderen shortenern: url angeben, in datenbank speichern, kurzen key zurückgeben, anfragen mit dem key per http header an die gespeicherte url weiterleiten:
$ curl -i http://flo.cx/s/1
HTTP/1.0 301 Moved Permanently
Date: Sat, 16 May 2009 08:01:07 GMT
Server: Apache
X-Powered-By: flo.cx shorty
Location: https://blog.flo.cx
X-Greetz: Have a nice day :)
Content-Length: 0
Content-Type: text/html

mein fokus ist darauf gelegen das ganze über apaches mod_rewrite hübsch über die adresszeile entgegen zu nehmen. sollten bugs oder missbrauch auftreten meldet das bitte an shorty[AT] flo[DOT] CX.

have fun 🙂

Flattr this!

url verkürzer…

url shortenerurl verkürzer oder auch neudeutsch url-shortener sind eine praktische erweiterung des aktuellen internets. sie bieten die möglichkeit sehr lang geratene urls, die ja eindeutig sein müssen, kurz zu machen und sie so handlich zu gestalten um sie per sms, im oder twitter weiterzuverwenden.

leider lässt sich auch einiges schindluder treiben. eine phishing seite oder eine seite die das opfer nie aufsuchen würde kann man leicht dahinter verstecken. twitterfox versucht das mit der anzeige der korrekten url hinter dem gekürzten token zu verhindern. tinyurl und bit.ly verhindert den zugriff von einigen spam ips und verhindert das kürzen von bekannten phishing sites und anderen url shortenern. diese ansätze sind löblich verhindern aber missbrauch nicht. viel wichtiger wäre eine information der nutzer, dass sie solche links immer mit vorsicht und bedacht verwenden. ein url shortener lässt sich mit leichtigkeit selbst bauen und da kann man dann treiben was man will…

ich hab das weiterleiten von url shortener zu url shortener ausprobiert. so kam ich auf die sperren mancher services drauf. klickt man auf http://fon.gs/blogDOTfloDOTcx kommt man auf http://tr.im/jV5F, von dort wird man auf http://www.urlxp.com/go/8642 weitergeleitet. unbemerkt rutscht man weiter auf http://tinyurl.com/cum34k. von dort gehts munter weiter auf http://kl.am/74q und weiter auf http://kissa.be/2Lu-, welches einen frame in die weiterleitung einfügt und auf http://bit.ly/shorrrty weiterverweist. bit.ly verweist dann auf eine custum url von fon.gs, http://fon.gs/my-not-very-short-and-thus-rather-hard-to-remember-url-shortening-url/. zugegeben das ist dann keine kurze url mehr 😉 , diese schickt den besucher dann aber wirklich auf meinen blog.

wärend meines versuches haben nur tinyurl und bit.ly verkürzungen von anderen verkürzern abgelehnt. das finde ich löblich allerdings sinnlos solange andere services einen die kurze url eines mitbewerbers noch weiter ‘verkleinern’ lassen.

alles in allem habe ich meine favoriten gefunden: bit.ly und tr.im. bit.ly bietet eine nette api und beliebige kürzel. tr.im bietet einem das löschen der erstellten kurzurl an und ausserdem eine statistik wie oft der link verwendet wurde. absolutes no go hatte kissa.be; der frame ist einfach nicht cool.

kleiner tipp am rande: sollte man sich nicht sicher sein wohin eine solche url führt bietet sich das kommandozeilen tool curl an. ruft man curl mit der option -i auf so wird auch der html header ausgegeben. der zeigt einem dann an auf welche seite verwiesen wird.
>: curl -i http://fon.gs/my-not-very-short-and-thus-rather-hard-to-remember-url-shortening-url/
HTTP/1.0 302 Moved Temporarily
Date: Tue, 28 Apr 2009 15:11:52 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13
X-Powered-By: PHP/5.2.0-8+etch13
Location: https://blog.flo.cx
...

Flattr this!