Kerülje a TwitViewer adathalászatát: OAuth-barát alkalmazások használata

A kora reggeli Twitter táplálékomra jutott, a felhasználók tengere ugyanazt az üzenetet küldi: "Szeretné tudni, hogy ki kíséri Önt a twitteren ?: //TwitViewer.net. "

Az a webhely, amelynek domainje ma Arizonai proxy szolgáltatáson keresztül regisztrálva volt, megígéri, hogy a Twitter oldalán megjelenő utolsó 200 ember fotógaléria-megjelenítője. A szolgáltatás költsége? Semmi, kivéve a Twitter felhasználói nevét és jelszavát. A fogás? Ön csak feladta a Twitter hitelesítési igazolványait olyan webhelyre, amelyre semmit sem tud. Erre a pontra támaszkodva az oldal automatikusan elküldi a fent említett üzenetet a Twitter fiókján keresztül engedély nélkül, és automatikusan követi a véletlenszerűen kiválasztott fotók Twitter-fiókjait - az az ember, akitől elhitette, elment a fiókjába.

[További olvasmány: A legjobb TV streaming szolgáltatások]

A Twitter maga most azt ajánlja, hogy a "szolgáltatás" címen jelentkező felhasználók megváltoztassák a jelszavukat. De nem olyan, hogy ez a javasolt átverés elkerülhetetlen volt az első helyen. Valójában két nagy akadály van közted és a Twitteren: az agyad és az OAuth között.

Érdemes megtenni egy kis háttérkutatást, mielőtt vakon eldobja az elsődleges bejelentkezési adatait minden Twitter-témájú internetes szolgáltatáshoz (vagy bármi az interneten, ebben a kérdésben). A webhely

legitim? A bél érzései pontosabbak lehetnek, mint gondolnátok. Az, hogy a webhely még fizikailag is lehetséges? Nem gondolhatok arra, hogy egy harmadik fél webhelye, csak a Twitter bejelentkezési jelszavát és jelszavát használva, nyomon követheti azokat a Twitter felhasználókat, akik rákattintottak a Twitter oldalára.

Az OAuth esetében ez egy hitelesítési protokoll olyan asztali és webes alkalmazásokhoz, amelyek célja a bejelentkezési adatok hitelesítése harmadik felektől. Az OAuth-ot támogató alkalmazások nem kérik közvetlenül a felhasználónevét vagy jelszavát. Ehelyett kérelmet küldenek a Twitterre, és kérik, hogy engedélyezze számlájához való hozzáférést.

A harmadik félnek való bejelentkezés helyett e kérelem kezeléséhez a Twitter megbízható kiszolgálókon keresztül jelentkezzen be a Twitter fiókjába, ahogy azt általában szokta. Az engedélyek tényleges kézfogása a Twitteren keresztül történik. Miután megadta az alkalmazás hozzáférését, hogy bármit is csináljon, a Twitter létrehoz egy hozzáférési kulcsot az alkalmazás számára, amely különböző szintű hozzáférési vagy időbeli szintek alapján konfigurálható. Ön ellenőrizheti a jóváhagyási folyamatot és a feltételeket, és akár eltávolíthatja az alkalmazás engedélyeit a tényt követően.

Nem minden asztali és webes alkalmazás támogatja az OAuth-ot, de ez sokkal biztonságosabb módja a harmadik feleknek a mint a felhasználói név és a jelszó küldése. Ha ezt az utóbbit meg kell tennie, győződjön meg róla, hogy hallgatólagosan megbízik a webhelyen, hogy ezt az információt - és fiókját - bizalommal tárolja. A TwitViewer helyzet még néhány Twitter-ben is élvezte a Net-savvy népét: Ne hagyd, hogy ez megtörténjen!

[photo courtesy Mashable] Frissítés 12:44 PST: