Es ist wohl keine allzu große Übetreibung zu behaupten, dass Twitter mit zu den Hauptumschlagsplätzen für URLs gehört, sowohl verkürzte als auch normale. Bei Ersteren war man in Bezug auf deren Sicherheit auf Gedeih und Verderben der Sorgfalt der Shortener-Dienste ausgeliefert, bei letzteren auf die Aufmerksamkeit der User. Zumindest war das bisher so. Seit der letzten Phishing-Attacke, bei der Twitter-User eine Nachricht mit dem Text „This you????“ und einem Link in der Form http://www.hurl.ws/XXXX erhielten und damit auf eine gefakte Log-in-Seite gelotst wurden (zur Erinnerung), hat Twitter genug von den Spirenzien. Wie der Microblogging-Dienst auf seinem Blog aktuell verkündet, werden ab sofort alle von Usern verschickten Direktnachrichten – die Twitter als die größten Spam-Schleudern ansieht – umgeleitet und die darin enthaltenen Links geprüft.
Mit diesem neuen Service will Twitter Phishing-Versuchen und ähnlichen Cyber-Attacken den Riegel vorschieben. „Indem wir alle an Twitter gesendeten Links auf diesen neuen Service umleiten, können wir schlechte Links erkennen, abfangen und ihr Ausbreitung auf Twitter verhindern. Selbst wenn ein schlechter Link bereits in einer Mail-Benachrichtigung verschickt wurde und von jemandem angeklickt wird, werden wir imstande sein, den User zu schützen.“
Keine Chance für Phishing
Es kann angenommen werden, dass Direktnachrichten tatsächlich am anfälligsten für Phishing-Links sind, da man als Empfänger den Sender der Nachricht in der Regel kennt und ihm vertraut. Ähnliches kennt der eine oder andere ja bereits von verseuchten Sofortnachrichten aus dem Instant Messenger. Ich bin da auch schon mal auf sowas reingefallen. Einen „verifizierten“ Link in Direktnachrichten oder E-Mails erkennt ihr übrigens an der Form „twt.tl“, sonst ändert sich nichts. Ich habe das vorhin mal ausprobiert, das Resultat sehr ihr oben.
Eine anderer Grund für die Beschränkung könnte aber sein, dass Twitters Infrastruktur schlicht und ergreifend (noch) zu schlecht ist, als dass alle getwitterten Links überprüft werden könnten – und dazu noch in Realtime. Der Dienst kracht ja so schon häufig genug unter der Last der Tweets zusammen. Sobald Twitter ein Monetarisierungsmodell findet, das genug Geld abwirft oder ein Investor sich (nochmal) erbarmt, wird die Überprüfung der Links in allen Tweets eine denkbare und von Usern sicherlich gern gesehene Option. Obwohl…
So ganz ohne Schattenseite ist der Service bereits in seiner jetzigen Form nicht. Letztlich heißt es nämlich nichts anderes, als dass Twitter nun den kompletten „Durchblick“ hat. Natürlich werden die meisten Tweets von ihren Verfassern nicht extra geschützt, so dass faktisch jeder auf die Links klicken und sich die dahinter liegende Seite angucken kann. Dies gilt aber nicht für Direktnachrichten.
Kommt ein eigener URL-Shortener?
Spinnt man den Faden vorsichtig mit einer heißen Nadel weiter, ergibt sich folgendes Bild: Twitter erhält durch das Scannen der direkt verschickten Nachrichten und der dazugehörigen Links aufschlussreiche Informationen sowohl über Sender und Empfänger der Nachricht, als auch über den Kontext, in den der Link eingebunden ist. Erinnern wir uns an die Ankündigung, dass die künftig geschaltete Werbung für den User „passend und nützlich“ sein wird und er „sie nicht als Werbung empfindet“, so könnte ich mir gut vorstellen, dass Twitter mit dem „neuen Service“ mehr plant, als die bloße Spam-Bekämpfung. Na, und wer will sich schon beschweren, wenn er „gesäuberte“ Links bekommt und Twitter im Gegenzug irgendwo Werbung platziert.
Und eine Frage drängt sich mir in diesem Zusammenhang noch auf: Könnte der „neue Service“ das Ende von bit.ly und Co. einläuten? Wie naheliegend wäre es für Twitter, einen hauseigenen Shortener einzuführen, der den Usern zudem das Gefühl gibt, dass die Links überprüft werden, bevor sie den Empfänger erreichen? „Spam sucks.“ So treffend hat es seinerzeit der (quasi Twitter-Haus- und Hof-) URL-Shortener bit.ly selbst formuliert und zum hochgerüsteten Kampf gegen Spammer geblasen. Die Web-Kriminellen hatten den Dienst nämlich etwas zu lieb gewonnen und konnten mittels der gekürzten URLs ihre bei Filterprogrammen oft bereits bekannten Seiten verschleiern und sie so an deren Sperren vorbeimogeln konnten. Zudem können User nicht (unmittelbar) erkennen, auf welcher Seite sie landen, wenn sie einer Kurz-URL folgen. Wie ich damals auch schon anmerkte, funktioniert dies bei „normalen“ Internet-Adresse auch nicht immer (siehe obiges Phishing-Beispiel), der Nachteil für den Shortener ist aber mitunter ein sinkendes Vertrauen des Users in den Dienst. Oder eine Seite wie Twitter.
Nun müßte sich Twitter aber nicht mehr auf die Sicherheitsmaßnahmen Dritter verlassen. Und ein altes Kredo heißt: mach alles selbst, was du selbst machen kann. Warum also nicht?
