Unter einem Kurz-URL-Dienst (englisch URL Shortener) versteht man einen Internetdienst, der für beliebige URLs, also zum Beispiel Links zu Webseiten, eine zusätzliche alternative URL zur Verfügung stellt. Diese Alias-URL führt beim Aufruf über eine Weiterleitung zur Zielwebseite. Der auch Short URL, URL Alias oder Kurzlink genannte Alias besteht meist aus wenigen (ASCII-)Buchstaben oder Zahlen. Dies dient dazu, für unhandliche URLs kurze, leicht eingebbare oder leichter merkbare Alternativ-URLs bereitzustellen.

Weit verbreitet ist die Nutzung von Kurz-URLs in Mikroblogging-Diensten und Status-Meldungen in sozialen Netzwerken, die oft nur eine begrenzte Anzahl von Zeichen je Posting erlauben.

Das Angebot besteht meist aus drei Teilen:

  1. Auf der Homepage des Anbieters kann man in einem Webformular unter Angabe der gewünschten Ziel-URL einen kurzen Alias erstellen. Einige Kurz-URL-Dienste bieten auch ein Bookmarklet oder ein Plug-in für den Webbrowser an, das es erlaubt, eine Kurz-URL der aktuell besuchten Seite zu erzeugen, ohne vorher den Originallink aus der URL-Zeile des Webbrowsers kopieren zu müssen.
  2. Jeder Aufruf der Alias-URL wird anschließend automatisch auf die zuvor angegebene Ziel-URL weitergeleitet.
  3. Viele Anbieter machen auch Aufrufstatistiken der einzelnen Kurz-URLs zugänglich. Dies kann jedoch problematisch im Hinblick auf den Datenschutz sein.

Einige Kurzlink-Dienste stellen zudem zusätzliche Funktionen bereit. Beispiele hierfür sind das Erzeugen benutzerdefinierter Kurzlinks, Kurzlinks mit Virenschutzfunktion, die Erstellung von QR-Codes für Kurzlinks oder das Erzeugen von passwortgeschützten Kurz-URLs (siehe auch Bekannte und besondere Dienste).

Beispiel:

  Original-URL: http://de.wiki.x.io/wiki/Portal:Wissenschaft
  URL-Alias: http://w.wiki/VF

Die kurze URL beinhaltet eine Zeichenfolge, die dem Betreiber des Kurz-URL-Dienstes als eindeutiges Erkennungsmerkmal dient. Anhand dessen kann die lange URL in der Datenbank des Betreibers ermittelt werden. Der Webserver sendet anschließend an den Client einen HTTP-Statuscode im Header und teilt dem Browser die neue Adresse mit. Ein solcher Header könnte beispielsweise so aussehen:

  HTTP/1.0 301 Moved Permanently
  Connection: keep-alive
  Location: http://de.wiki.x.io/wiki/Portal:Wissenschaft
  Content-type: text/html
  Content-Length: 0
  Date: Sat, 27 May 2006 17:01:45 GMT
  Server: ExampleURL/1.5

Mittlerweile bieten einige Kurz-URL-Dienste an, dass man dem neuen Link auch eine eigene Kennung geben kann. So kann zum Beispiel obiger langer Link auch wie folgt gekürzt werden:

  Original-URL: http://de.wiki.x.io/wiki/Portal:Wissenschaft
  URL-Alias: http://example.org/wissenschaft

Dies ermöglicht dem Nutzer das Wiedererkennen des verkürzten Links und eine optimale Erfassung von Suchmaschinen.

Risiken und Lösungsansätze

Bearbeiten
  • URL-Aliase verstecken das eigentliche Linkziel vor dem Anwender. Ein „echter“ Link enthält diverse Informationen, wie beispielsweise den Namen des Servers, des Verzeichnisses oder der Datei, mit denen sich seine Vertrauenswürdigkeit besser beurteilen lässt. Bei URL-Aliasen wird der Besucher ggf. ohne sein Einverständnis auf eine Seite weitergeleitet, die er vielleicht gar nicht besuchen will oder darf. Dieser Umstand kann missbraucht werden, um Menschen ungewollt auf Seiten zu locken, die über Sicherheitslücken im Webbrowser den Rechner des Anwenders kompromittieren, oder um eine Cross-Site-Request-Forgery einzuleiten.
  • Aus diesem Grund bieten viele Kurz-URL-Anbieter auf Wunsch einen Vorschau-Link an, über den man nicht direkt zum Ziel, sondern durch einen weiteren Parameter (beispielsweise preview) zunächst auf eine Zwischenseite gelangt, auf der weitere Informationen zum Ziellink angegeben werden oder auf der dem Linkbenutzer die lange Version der gewünschten Adresse angezeigt wird, beispielsweise:
     Original-URL: http://de.wiki.x.io/wiki/Portal:Wissenschaft
     URL-Alias mit Vorschau: http://preview.example.com/o5lao
  • Viele Anbieter finanzieren sich über Werbung auf derartigen Vorschauseiten.
  • Auch die Anbieter der Kurz-URL-Dienste sind nicht vor Angriffen geschützt: Der Kurz-URL-Dienst Cli.gs wurde im Juli 2009 angegriffen, Hacker waren in die Datenbank des Web-Angebots eingedrungen und hatten alle rund 2,2 Millionen Kurz-URLs auf eine andere Seite umgeleitet. Derartige Angriffe können dazu führen, dass mit einem Schlag alle Links eines Anbieters z. B. auf Seiten verweisen, auf denen Malware aufgebracht ist, welche dann den PC des Nutzers verseucht.[1]
  • URL-Aliase werden üblicherweise kostenlos zur Verfügung gestellt. Falls sich ein Anbieter jedoch entschließen sollte, seinen Dienst zu kommerzialisieren oder ein Anbieter seinen Betrieb einstellt, werden alle URL-Aliase dieses Anbieters mit einem Schlag funktionslos. Da die Nachhaltigkeit der Informationen somit nicht gewahrt ist, wird empfohlen, insbesondere in Webforen oder im Usenet auf den Gebrauch von Alias-URLs zu verzichten, da die dort verfassten Beiträge teilweise jahrzehntelang archiviert werden. Die Initiative 301Works.org,[2] hinter der der Gründer des Internetarchivs archive.org steht, will sicherstellen, dass die kurzen URLs dauerhaft funktionsfähig bleiben – Anbieter von Kurz-URLs können sich an dieser Initiative beteiligen.
  • Prinzipbedingt können vom Betreiber der Weiterleitungen zentrale Benutzerprofile erstellt werden, in denen die aufgerufenen Seiten verknüpft werden.
  • Ein Sicherheitsproblem aus Unternehmenssicht besteht darin, dass unternehmensinterne tiefe Links auf geschützte Inhalte in der externen Datenbank des Kurz-URL-Dienstleisters gesammelt werden. Problematisch ist, dass, selbst wenn die Inhalte wie in einem Extranet oder Unternehmens-Wiki geschützt sind, trotzdem schon anhand der Link-Titel einige Rückschlüsse auf die Inhalte der Dokumente gezogen werden können (z. B. auf einen Kunden, wenn dessen Name Teil der URL ist).[3]
  • Um die Weiterleitung von Kurzlinks anzuzeigen, ohne sie zu besuchen, können sogenannte „Redirect Checker“ verwendet werden. Auf derartigen Webseiten kann unter Angabe einer Kurz-URL überprüft werden, zu welcher Zieladresse diese weiterleitet.

Bekannte und besondere Dienste

Bearbeiten

Der von den USA aus betriebene Dienst Bit.ly ist der weltweit meist genutzte Kurz-URL-Dienst (Stand 2009).[4] Da sich der Dienst in seiner Datenschutzerklärung noch immer auf das 2020 durch den Europäischen Gerichtshof für ungültig erklärte Datenschutzabkommen EU-US Privacy Shield beruft, ist umstritten, ob eine datenschutzkonforme Nutzung innerhalb des Geltungsbereiches der Datenschutz-Grundverordnung (der Europäischen Union) möglich ist.[5][6]

Neben diesem Betreiber gibt es sehr viele weitere Kurzlink-Anbieter, von denen einige auch versuchen, die Risiken von Kurzlinks zu minimieren, zum Beispiel durch den Einbau von Malware- und Phishing-Schutz-Funktionen. Der Kurzlinkdienst t1p.de, zu dem auch weitere Domains gehören, bietet zusätzlich die Möglichkeit, einen optionalen Dereferrer-Schutz zu aktivieren, der die Privatsphäre der Nutzer schützen soll. Zudem ist es möglich, Kurzlinks mit einem Passwort zu schützen, ihren Gültigkeitszeitraum einzuschränken und einen zur Kurz-URL passenden QR-Code zu generieren.

Trotz der Bemühungen der genannten Anbieter lassen sich durch technische Maßnahmen nicht alle Nachteile von Kurzlinks beseitigen, weswegen ihre Verwendung auch trotz eines höheren Levels an Sicherheit umstritten bleibt.

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten
  1. Kurz-URLs: Das riskante Spiel mit den Twitter-Links (Memento vom 20. September 2017 im Internet Archive) auf chip.de, abgerufen am 2. Januar 2022
  2. 301Works.org
  3. Kurz-URL-Dienste: nützlich und riskant auf seibert-media.net 2008
  4. When It Comes To URL Shorteners, bit.ly Is Now The Biggest. techcrunch.com, abgerufen am 24. Juni 2012
  5. Datenschutzerklärung auf Bitly.com, abgerufen am 10. September 2021
  6. URL-Shortener und ihre Probleme beim Datenschutz. daiseco-datenschutz.de, abgerufen am 10. September 2021