Kurz-URL-Dienste: nützlich und riskant
28. Juli 2008 von Martin Seibert
Lange Links: Unannehmlichkeiten bei Empfängern und Lesern
Links auf Datenbankinhalte, ebay-Auktionen, Amazon-Artikel oder tiefe unternehmensinterne Seiten sind furchtbar lang und lange Links führen immer wieder zu Schwierigkeiten.
Wird beispielsweise eine sehr lange URL von einem Mac an einen Windows-PC mit Outlook gesendet, steht der Empfänger vor einem Problem: Jede Zeile wird automatisch nach 72 Zeichen umgebrochen, wodurch der Link nicht mehr anklickbar ist. Stattdessen muss er via Copy & Paste in die Browserzeile eingegeben werden. Und das ist nur ein Beispiel von vielen. Ellenlange Links zerstören jedes Layout, machen E-Mails und Texte schwer lesbar und selbst WordPress-Links dürfen nicht länger als 255 Zeichen sein. Manche Deeplinks auf Datenbanken nehmen wohl auch diese Hürde.
TinyURL, is.gd und Co.: Kürze per Klick
Kurz-URL-Dienste schaffen hier Abhilfe und generieren aus langen URLs handliche, kurze Adressen. Der mit Abstand bekannteste Dienst dürfte TinyURL sein; ein weiterer, offenbar seriöser Anbieter ist beispielsweise is.gd. Für den User sind diese Dienste äußerst einfach zu handhaben: Er kopiert eine URL in das Eingabefeld, bestätigt per Klick und erhält eine Adresse, die nur einen Bruchteil so lang ist wie die eigentliche.
Aus der langen URL http://consulting.seibert-media.net/consulting/online-marketing/index.shtml sind also die Kurz-URLs http://tinyurl.com/58we9e und http://is.gd/Q2E generiert worden, die auf die Zielseite weiterleiten.
Das ist bei einigen Gelegenheiten von Vorteil: Solche kurzen Links sind wunderbar in E-Mails, Texte, Quellenverzeichnisse usw. einzubetten, leichter zu merken und schneller einzugeben. Zudem können sie problemlos abgeschrieben und auf Papier verwendet werden. Der Dienst is.gd hat dabei jedoch den Nachteil, dass mitunter Klein- und Großbuchstaben verwendet werden und einige User diese Differenzierung im Web nicht gewohnt sind.
Problem 1: Sicherheitsbedenken bei Usern
Problematisch ist nun allerdings, dass die Mehrheit der User nicht mit Diensten wie TinyURL und is.gd vertraut sein dürfte. Viele Nutzer kennen diese Anbieter nicht, sind sich nicht sicher, was sich hinter diesem (für sie ungewöhnlichen) Link-Format verbirgt und sie wissen vor allem nicht, wohin sie der Link führt. Es ist völlig nachvollziehbar, dass dementsprechend Sicherheitsbedenken auftauchen. Fake- und Phishing-Seiten sind in aller Munde, Nutzer fürchten Spyware, Malware, Viren usw. Ein „echter“ Link enthält mehrere Informationen über die Zielseite. Bei Kurz-URLs ist das nicht der Fall.
Um diesen Sicherheitsbedenken entgegenzuwirken, bieten beide Dienste eine Preview-Funktion an. Klickt der User auf einen solchen Link, landet er zunächst auf der Website des Kurz-URL-Dienstes: Dort kann er sich ein Bild verschaffen, worum es sich bei TinyURL, is.gd usw. überhaupt handelt und erfährt insbesondere auch, wohin der Link eigentlich führt:
Bei Preview-Links von TinyURL wird ein „preview“ hinter den Slashes eingefügt (http://preview.tinyurl.com/58we9e), bei is.gd entsteht ein Preview-Link durch das Anfügen eines Minus-Zeichens an die Kurz-URL (http://is.gd/Q2E-).
Problem 2: Interne Deeplinks in einer externen Datenbank
Ein in der Tat gravierendes Sicherheitsproblem besteht jedoch darin, dass diese Dienste fleißig unternehmensinterne Deeplinks sammeln, denn einmal generierte Links bleiben auch nach dem Anklicken aktiv. Ob Wiki-Links auf Mitarbeiter- oder Projektdaten, ob Links auf Preview-Seiten, die nicht für die Öffentlichkeit bestimmt sind – man bietet in der Datenbank eines externen Dienstes eine Reihe interner tiefer Links an, die eigentlich niemanden etwas angehen.
Ein Beispiel: Führt ein Link etwa in einen Wiki-Bereich, in dem Daten über zu akquirierende Kunden gesammelt werden, kann der Betreiber der Datenbank (und theoretisch jeder andere Nutzer auch) immerhin an der URL erkennen, um welchen Kunden sich ein Unternehmen momentan bemüht. Die von is.gd generierten Links sind zudem schlicht durchnummeriert und wer die Muße hat, kann sich ja einmal durch die „Vorgänger“ und „Nachfolger“ seiner eigenen Kurz-URL klicken und sich ansehen, wofür andere User diesen Dienst denn verwenden.
Fazit: Kurz-URLs der Situation angemessen nutzen
Kurz-URL-Dienste erleichtern den Arbeitsalltag durchaus, sollten jedoch mit aller gebotenen Zurückhaltung genutzt werden. Das betrifft vor allem die Verkürzung von Adressen, die auf Seiten mit sensiblen und vor allem ungeschützten Daten verweisen. Um ein Mindestmaß an Transparenz zu wahren und E-Mail-Empfängern die verständliche Unsicherheit zu nehmen, empfiehlt es sich zudem zunächst Preview-Links zu versenden.
Fazit: TinyURL, is.gd und Co. sind hilfreich und sinnvoll, doch wie so oft gilt: Es ist alles eine Frage der Angemessenheit.
PS: Wenn Ihnen einmal eine URL (aus welchen Gründen auch immer) partout zu kurz (!) sein sollte, versuchen Sie es doch mit dem Gegenentwurf und generieren Sie mit WideURL ein wahres Link-Ungeheuer. Der Empfänger wird sich bedanken. 
Weitere Informationen:
TinyURL als Malware-Schleuder enttarnt
TinyPaste – TinyURL für Texte
TinyURL vs. WideURL
Am 28. Juli 2008 um 16:08 Uhr
Hier wird als Vorteil unter aderem “leichter zu merken und schneller einzugeben” genannt. Dem kann ich nicht zustimmen.
Wenn ich eine ellenlange URL bekomme und mir den hinteren Teil nicht merken kann, weiß ich doch vielleicht noch die Domain, z.B. seibert-media.de, und kann dann dort suchen.
Bei diesen Abkürzungs-Diensten ist das schwieriger. Den mehrstelligen, alphanumerischen Code bei z..B. tinyurl.com der seibert-URL, nämlich “6kv9nh”, kann und will ich mir nicht behalten.
Am 29. Juli 2008 um 21:10 Uhr
Bei http://is.gd/ sind die URL-Anhängsel derzeit noch 3stellig. Allerdings nicht mehr lange und man muss sich noch Groß- und Kleinschreibung merken.
Am 1. August 2008 um 12:16 Uhr
Schön finde ich, dass auf den Sicherheitsaspekt eingegangen wurde. Netzwerkadministratoren würde ich empfehlen in Unternehmsnetzwerken mit Hilfe von Firewall- oder Proxysystemen eine automatische Umschreibung der Kurz-URLs auf die Preview-URLs der Anbieter zu etablieren.
Am 5. August 2008 um 11:03 Uhr
Manueller Trackback:
Juli 2008 im Kontext
http://hyperkontext.at/weblog/artikel/juli-2008-im-kontext/
[...] Wenn wir kurz innehalten werden wir bemerken, dass all diese nützlichen Funktionalitäten auch erhebliche Risiken mit sich bringen können. Martin Seibert (seibert-media.net) hat über diese “Shortener” im Juli einen aufklärenden Artikel geschrieben [...]
Am 14. September 2008 um 20:23 Uhr
Ein weiterer kurz-URL-dienst ist http://301log.de/ .
Neben einfachen Weiterleitungen kann man zusätzlich noch Captchas, die art der Weiterleitung, Statistiken und Passwörter einstellen.
Was ich auch sehr schön finde, ist die Generierung eines 2d-Barcodes den man mit modernen handys einfach abfotografieren kann und schon hat man die URL.
Am 8. Februar 2009 um 19:39 Uhr
Und schon wieder ein neuer Kurz-URL-Dienst: http://tr.im/ – Mal ausprobieren.
Am 20. Juni 2009 um 19:15 Uhr
2,2 Millionen URLs bei URL-Verkürzerdienst manipuliert
http://www.heise.de/newsticker/2-2-Millionen-URLs-bei-URL-Verkuerzerdienst-manipuliert–/meldung/140557
Am 20. September 2009 um 12:35 Uhr
Über den Nutzen der Preview-Möglichkeit lässt sich streiten. Fakt ist nämlich, dass dadurch keine 301er Weiterleitung mehr möglich ist und man folglich auch kein Pagerank-Power vererbt bekommen kann. Statt dessen “versumpft” der PR auf der Vorschauseite. (Vorschau = SEO-Killer)
Auch der als negativ angekreidete Punkt der Groß-/Kleinschreibung ist nicht ganz nachvollziehbar. Denn dadurch erweitert sich der Bereich der ganz kurzen Adressen (2/3/4-stellige Codes) ganz enorm. Besonders in Zeiten von Twitter und Co. werden sehr kurze URLs zur echten Mangelware. Viele Dienste bieten auch die Option für einen Wunschcode an, wodurch man zum einen aussagekräftigere Kurzlinks generieren kann, zum anderen kann man einer gewissen Klientel auch “mitteilen” das der Link zur eigenen Seite führt. Dazu kann man z.B. ein kurzes, selbstgewähltes Präfix vergeben.
Der Sicherheitshinweis ist mehr als berechtigt, aber dennoch ist dieser Artikel für meinen Geschmack doch sehr negativ angehaucht, was durch diesen recht subjektiv Blickwinkel entsteht.
Gruß Andreas
Am 10. Oktober 2009 um 15:14 Uhr
[...] Die Nutzung von sog. Kurz-Url-Diensten (siehe Wikipedia) wie tinyurl.com oder bit.ly hat in den letzten Jahren sehr stark zugenommen. Gerade in der sozialen Netzwelt des Web 2.0 bieten diese Dienste einen eleganten (und oft auch einzig gangbaren) Weg, um URL-Ungetüme auf eine überschaubare Länge zu kürzen.Doch muss man gerade diese Dienste auch kritisch betrachten, denn so praktisch die sind, sie bieten ein nicht zu unterschätzendes Potential für Missbrauch (vgl. Seibert Media Weblog: Kurz-URL-Dienste: nützlich und riskant). [...]
Am 16. November 2009 um 22:34 Uhr
Offenbar war die WideURL-Website eine Phishing-Website…
Am 16. November 2009 um 22:39 Uhr
Durchaus möglich. Womit mal wieder bewiesen wäre, worum es auch in dem Artikel ging. Insbesondere URL-Verkürzer aber auch Links im Allgemeinen können Probleme und Gefahren verbergen.
Am 18. Dezember 2009 um 14:01 Uhr
Die größte Gefahr bei den TinyURLs sehe ich vor allem im Zusammenhang mit XSS (Cross-Site-Scripting):
http://de.wikipedia.org/wiki/Cross-Site_Scripting
Das lebt nämlich (auch) davon, dass man einen Benutzer dazu bringt eine URL aufzurufen, die er sich nicht genauer angeschaut hat.
Am 6. Januar 2010 um 11:27 Uhr
[...] Kurz-URL-Dienste: nützlich und riskant Warum nur? bit.ly erhält Zuspruch von Google und Co., formiert Allianz mit Yfrog So funktioniert bit.ly: URLs kürzen, Klickstatistiken inklusive Vorheriger Beitrag Dieser Eintrag wurde am Mittwoch, den 6. Januar 2010 um 11:27 Uhr von Thorsten Brüggemann veröffentlicht und ist Teil der Kategorie Arbeitstechniken, Trends, Web-Technologien. Sie können alle Antworten auf diesen Beitrag durch den RSS 2.0 Feed mitverfolgen. Sie können eine Antwort schreiben, oder einen Trackback auf Ihrer Seite einrichten. Keywords: bit.ly, Consulting, Domain, Dr. Web, Facebook, Kurz-URL-Dienst, Micro-Blog, tr.im, Twitter, URL, URL-Shortener Verwandte Artikel:Kurz-URL-Dienste: nützlich und riskantGoogle will Änderungen nicht mehr selbst ermitteln – bitte anmelden!Nagios-Monitor zur Überwachung der //SEIBERT/MEDIA-ServerWebsite-bezogene Anzeigen bei Google im AnmarschIndividualität und Funktionenvielfalt dank mächtiger TYPO3-Extensions [...]
Am 10. Februar 2010 um 11:06 Uhr
Hallo,
beim Kurz-URL Dienst auf http://io.ma kann auch ein definierter Zusatz angegeben werden. Somit sieht ein link dann in etwa so aus: http://io.ma/muster.
Also sicher auch leicht zu merken.
LG
YoYo
Am 10. Februar 2010 um 12:11 Uhr
Das ist eine Funktion, die Anbieter wie bit.ly und tr.im auch schon lange anbieten. Trotzdem weiß man natürlich nicht, ob das sprechende Teilelement wirklich auf das gewünschte Ziel führt. Eigentlich ist das sogar noch gefährlicher, weil man damit Laien vermutlich noch besser täuschen kann.
Am 10. Februar 2010 um 13:05 Uhr
Ist schon klar, aber: getäuscht und gerubt wurde schon immer. Und die Methoden werden auch immer ausgefeilter.
Jeder Teilnehmer am WWW ist sowieso angewiesen sich in den wichtigsten Grundregeln einweisen zu lassen.
Spoofing und Phishing sind ja immer noch up-to-date weil es noch genug Benutzer gibt welche sich nicht mit Security auskennen.
Am 19. Februar 2010 um 23:55 Uhr
Die Kurz-URLeritis gibts jetzt auch als absolute Nonsens-Version:
http://www.beehave.de/forum/url-shortener-2tr-de-t4151.html
Am 8. April 2010 um 12:20 Uhr
Wer einen eigenen URL Kürzer betreiben will, kann das mittlerweile auf einem einfachen Webserver mit PHP/MYSQL mit dem Script: YOURLS ( http://yourls.org/ ). So behält man auch auf Dauer kurze und einfach zu merkende URLs.
Wer YOURLS mal in Aktion sehen möchte kann hier reinschauen: http://eeer.de
Am 21. Mai 2010 um 17:01 Uhr
[...] Einige interessante Aspekte zur Sicherheitsproblematik von Short-URLs nennt Martin Seiberts Blog. [...]