1月4日,2009年

Twitter OAuth目标下滑之际,增加安全压力

上周末,不止一个利用,发送的方式 Twitter的直接的信息功能,使得它在网络上。在Twitter的增长仍在继续,微博服务看起来为骗子,垃圾邮件发送者是一个新的领域,之前包含传统的电子邮件。随着诡计获得动量,也会呼吁Twitter来实现 OAuth,开放的协议,允许API的安全授权,已成为流行的今天在许多Web工具使用。但是Twitter员工的帖子在服务的开发团队,在网站上和自己的通知,显示一个路线图,虽然他们也尽力转移criticsm通过分离的必要性OAuth从周末的事件。。


一个Twitter网络钓鱼的一个例子。。

Twitter的成功已经见过风潮正在开发的应用程序,要求用户输入用户名和密码的第三方网站。鉴于Twitter OAuth支持的缺乏,Twitter用户已经习惯于发布数据时问,在罕见的情况下,一个网站被发现恶意,它迫使他们再次更改密码来保护自己的帐户。。

OAuth网站说明了项目的开发,背后的原因说:”如果你将受保护的数据存储在用户的代表,他们不应该传播密码在网络上获得它。””

周末的活动特色模拟Twitter登录页面,用户在哪里提示输入他们的凭证。(见: CNet: Twitter网络钓鱼诈骗可能蔓延),而这个特定的攻击不会OAuth,已经找到了解决办法而是由用户登录仅仅关注他们,你可以看到Twitter当前进程的态度。。

亚历克斯·佩恩领先的开发商Twitter周六告诉一个用户: ”现在,你不能看到哪些应用程序正在使用你的请求。你可以改变你的密码,虽然。””,后来告诉另一个用户,, ”我们试图阻止对点击链接。””非常基本的东西。。

当被追问是否Twitter OAuth实现,和减少用户的增长过于安逸,到处张贴他们的密码,亚历克斯说,”OAuth不是灵丹妙药反对钓鱼和其他网络安全问题。我们仍然会支持它,”后,呼应了OAuth网站说,”一个主要好处是,OAuth限制银行的业务范围,可以用用户的凭证,”同时链接到从2008年4月的一篇文章显示如何钓鱼诈骗OAuth无法停止。看到的: 钓鱼傻瓜吗?吗?

所以,我们会通过添加OAuth钓鱼问题将无法解决,但是我们看到越来越多的应用程序获取你的密码。随着新年的进来,twp设法让许多密码,然后当天售出。(见: Scobleizer:Twitter垃圾邮件,有效还是白痴?吗?)

亚历克斯提到Twitter OAuth支持。但当吗?吗?

在Twitter开发讨论论坛,, 你可以看到目标继续。。
亚历克斯,去年11月24日,写道:“我们正在等待我们的用户体验团队把最后一个测试版的OAuth支持。它有错误,可以肯定的是,但我们应该很快。””
11月26日,在要求日期后,他说,”我不知道我们的用户体验团队的整个计划,我不能。我想说不到一个月的时间接近一个星期到目前为止,但请不要抱着我。””
12月8日,亚历克斯给了更具体的时间:“它不会被用于测试在本周,但应该在月底前可用。我肯定会鼓励你不要发射,不过,这将是一个β。””
从第一个评论,现在一个多月在更多的开发人员的压力,亚历克斯说,下一个主要版本的API将OAuth-only,但是偏转的一些批评,指责其他服务尚未投入了OAuth潮流。。

今天下午,1月4日,亚历克斯说:
”当然,一旦我们提供OAuth,这将是很高兴见到同一个社区的压力应用到我们把像亚马逊这样的公司。亚马逊。com iPhone应用程序收集我的用户名和密码,这账户是绑定到我的信用卡信息。博客对他们的反模式在哪里?””
现在,毫无疑问我不安全专家。别忘了,11月12日,我曾写道,, Twitterank可以有我的密码,没有问题问,和亚历克斯似乎感觉其他非专家的应变,像我一样,推动团队更健壮。他 今晚在推特上评论道,”没有用,web的人通常有0 /加密安全教育,”一桶我毫无疑问。。

需求的风潮在Twitter上改善其安全措施,尽快去OAuth无疑达到了一个高潮后,本周的利用——这两个项目可以解决的,那些仅仅是网络钓鱼诈骗。但它看起来像Twitter开发者的信心已经动摇,所以许多承诺,和最后期限继续移动。。