显示文章标签 OAuth。。 显示所有帖子
显示文章标签 OAuth。。 显示所有帖子

11月2日2010年

OpenID基金会终于抓住@openid Twitter帐户

OpenID协议,旨在验证用户以一种分散的方式,帮助个人拥有自己的独特身份而不需要占每个服务,已经有一个讽刺的问题在一段时间内——鉴于OpenID Foundation实际上并没有拥有自己的ID的一个论坛,更受欢迎 推特。今天,这个问题可以平息Facebook员工和开源倡导者 大卫。瑞克丹今天下午宣布他们已经获得的 @ OpenID帐户给人一个中心位置,密切关注更新协议。。

虽然OpenID有时被指责为钝角,使登录更复杂,而不是更少,该项目已经推动分散的身份离开个人域的概念,包括 上周的新闻,Flickr采取了标准。的协议,现在谷歌员工开发的Brad Fitzpatrick在2005年,在六点,已经部署在一个重要的和有影响力的Web服务的数量,和企业成员包括Facebook,谷歌,IBM,微软,贝宝和Yahoo !在基金会的董事会。具有讽刺意味的是,没有人从Twitter在黑板上。。

发布的相关账户可能有也可能没有被昨天的OpenID OAuth峰会,在Facebook总部举行,从各种各样的科技公司,看到了利益相关者包括BT凯文标志,Chris Messina约瑟Smarr谷歌和Tantek侯赛因,计算机科学家在微格式。组织,可能参与讨论之间的差异有时免费但竞争格式。同时,, 互联网身份车间(IIW)今天开始在山景城许多这些相同的人会参加。。

辩论OpenID和OAuth继续愤怒在网络上,当然可以。最近的作品包括万圣节post代码库: OpenID或OAuth——这是个问题。不管最终的决议,建议作为 一个名为OpenID的新协议连接,采用开放标准和降低复杂性是一件好事。现在,您可以遵循OpenID的事件 @openid。。

04三月2010年

设计为使用google Buzz的世界

如果你还没有看到很多的应用程序在过去几周,利用构建的 Google BuzzAPI,因为没有任何。事实上,谷歌尚未推出任何Buzz API。据该公司介绍,这不是由于任何幕后交易,他们计划推出专有代码和钩子,领带活动平台,但相反,因为他们想要确保他们能够首先构建一个完全利用开放Web标准的产品,并开始与基金会提供一个可互操作的系统,即使可以继续函数 谷歌是“消失在地球表面。。

在演讲 硅谷Google技术用户组昨晚,在谷歌校园,, 德威特克林顿,公司的一名软件工程师,开发人员和其他技术爱好者谈论公司的API Buzz策略和方法,和解释说,Google Buzz设计不增加锁定,但相反,利用开放技术,数据流与网站没有中央的所有权。而嗡嗡API最终会被释放,它将利用相同的开放标准,它今天。。

”Buzz的首要原则是,我们可以构建这个协议开放和自由,但不集中,”德维特说。”可以谷歌从地球表面消失和Buzz还工作吗?我们需要这个数据联邦和分布式。””

Buzz推出的那天,我引用的基础Buzz快速的开放工具和api”” 让Buzz哼”。但昨晚,Dewitt扩展了这个故事,包括9个主要的开放API,下面简要概述。。

1。。原子

德威特Atom”今天的可编程网络的通用语”,“解释原子包含条目结构良好的,,包括源项,guid,使重复数据删除,和规范的内容类型。他说,”你可以通过丰富的数据,Atom提要的方式比其他饲料更具体的类型。””

2。。AtomPub

德威特说AtomPub“已经成为最受欢迎的范例restful api。”AtomPub扩展原始Atom格式,包括创建和更新提要的能力,不只是被动地阅读。。

3.。ActivityStreams

ActivityStreams本质上看用户的活动,可以指定丰富动词和行为在这些提要。这使提要Buzz的评论,都喜欢,甚至在Buzz警报后,一个人你也跟着你在另一个网络。Dewitt的例子暗示了平台的未来发展,因为这些特定的提要尚未清晰可见。。

4所示。。Pubsubhubbub

在博客上讨论,Pubsubhubbub减少了更新,网站需要调查并在服务之间进行实时更新。德威特重申“中心是由出版商决定的”和“没有什么Google-specific。”,巴兹说,基础设施和管道已经在过去的几年里。Pubsubhubbub开创了 Brad Fitzpatrick布雷特•斯拉特金,谷歌员工。。

5。。MediaRSS

由开发 Flickr,MediaSARS通过RSS和Atom提要联合丰富的媒体,创建一个结构化的名称空间内的RSS内容和缩略图。巴兹利用媒介,让你把丰富的内容,像Flickr照片,到平台。当然,, PicasaWeb,谷歌的财产,还支持MediaRSS。。

6。。OAuth

从各个角落的产品工程师,包括 推特,OAuth是工程”解决一个棘手的问题,”Dewitt说,解释OAuth防止需要要求用户在第三方网站上他们的名字和密码,作为委托授权的协议,它让应用程序的权限。Google Buzz,像Twitter,利用OAuthe提供对数据的身份验证访问。。

7所示。。WebFinger

新时代的旧命令行提示,文本响应手指协议,WebFinger旨在成为一种获取公共信息绑定到一个个体,通过他们的身份,分配到一个电子邮件地址。”我们希望人们识别自己,我们想要人们去发现,”德维特说。。

WebFinger相似的策略 OpenID,但是OpenID没有大规模采用终端用户发现它笨拙的人。WebFinger,旨在不晦涩难懂,使Buzz的独立性质,帮助联合和分发的数据域,由最终用户。德维特说,”这个概要文件查找和通知机制可以在用户的手中被解决。””

8。。大马哈鱼

还在早期阶段的发展,鲑鱼是一种扩展或替换旧的广播模式,有博客通知其他引用和链接。这种“瑕疵只提供最小的数据模型,和所述是否属实,让我发送广播的地方我希望如果我选择。鲑鱼的目标是利用被称为“” 神奇的签名”,与公共密钥签署的证明和验证链接。。

第一种方法对鲑鱼的评论聚合器迁移到原始的帖子,在这篇博客上写了几次。但DeWitt说:“喜欢”类似的活动可以与三文鱼回流,或用于通知用户”后”或其他活动。德维特预测,博客等网站和StatusNet将迅速采取和联合鲑鱼,传输数据的更新。。

9。。便携式联系人

简单的描述,便携式联系人的显示你的信息,你的朋友,用户提供一个安全的方式进入地址簿和朋友列表,而不必请求凭证或刮数据。。

德维特还指出 XFN,XHTML的朋友网络,和 FOAF(朋友的朋友)作为关键贡献者Buzz今天技术堆栈,他补充说,他是“很聪明的人正在这十年前因为我们都受益于现在。””

德维特,在Buzz饲料,已经说了很多关于开放标准和谷歌团队的重要性。看到 @Jesse保持几点澄清你的最近一篇文章[1],因为我相信正确的细节问题。。”我找到关于Google Buzz的最有吸引力的是其所承诺的开放标准。””,他的第一篇文章从2月21日,感谢标准开发人员: 站在肩膀上的巨头们看看Google Buzz背后的协议背后的人:

考虑到谷歌的规模,网络上有大量的不信任的人认为他们自己的数据太多,知道太多关于你的,或有目标在隐私上运行与自己的理想,沟通和分享。甚至连德威特的详细介绍和解释和承诺的开放和数据可移植性会说服每个人,他们在正确的道路。但我个人认为这里的坦率和细节显示这个人不仅仅是有前途的一个强大的未来产品(Buzz),而且在延长了整个网络奠定基础,产品和服务,我们还没见过呢。。

德维特说:“所有这些协议是开放的。他们也的确是全部免费。他们打算使用的每个人,有或没有谷歌参与。你不需要问我们如果您可以使用鲑鱼或Pubsubhububb。我们有一个自由和宽松的专利许可。””

是谷歌离开?不是今天,而不是今年。Buzz完美吗?不。当然不是。它能在其他网站做所有我能做的事情,就像FriendFeed吗?不。还没有。但似乎Buzz团队选择做出权衡,有利于快速航运和开放在完整性和个人特性。如果你不相信谷歌,这听起来像是你可以做些什么。。

”我们不很坚持要构建这种专有技术,”德维特昨晚说。”如果你觉得它不会在正确的方向上,你有能力改变它的方向和谷歌不会阻止你。””

你可以在这里找到我在Buzz并且可以 遵循德威特克林顿在Buzz。。

3月3日,2010年

开放身份提出交换身份信任框架


今天,在 RSA会议,的 开放身份交换(OIX),旨在增加信任在线身份,和支持OpenID和信息卡片基金会,宣布成立。并行地,U。年代。政府认识到多个科技公司作为身份保证达到联邦标准,包括 谷歌,, 贝宝艾可飞,本质上确保用户注册和登录的能力在联邦网站从每个这些服务的凭证。。

开放身份交换的目标包括建立在线用户对身份证件交换的信任和信心,标准化与在线登录,这些交互,减少麻烦注册和购买。任何网络用户都知道,挫折与记忆大量在线用户名和密码,每个对应不同的网站有不同的信任级别,可以是一个完整的痛苦——无论多么努力标准化,和选择,保持一个密码多个服务,许多做的,有更多自己的问题。。

OIX及其成员正在寻找减少与今天的网络问题,朝着进一步强调开放标准。OIX创始会员,一个非盈利的公司,包括博思艾伦,钙、均衡器,谷歌,贝宝,Verisign和Verizon。。

经常在线评估可信身份的复杂的过程

谷歌参与交易所遵循公司的招聘行动中一些更直言不讳的OpenID和开放运动的倡导者,包括克里斯·梅西纳和约瑟夫Smarr。本周早些时候,谷歌发言人通过电子邮件写道,包含公司作为OIX发射的不应该是一个惊喜。。

”正如你可能知道的,Google长期以来一直支持并致力于开发身份标准,如OpenID和OAuth,主要为了增加网上银行安全通过减少依赖密码使用在网站。”他们写道。。

新OIX网站上的白皮书,题为“一个开放的市场解决方案网络身份保证”,解释了开放的身份识别技术,包括OpenID和信息卡片,用于获取大多数网站部署的封闭用户名和密码系统,并扩展它们以接受其他各方发布的身份,比如谷歌,贝宝和Equifax。的纸,OIX的使命,中心周围的身份问题,包括社会、业务,法律和情感,比如信任。。

这个模型的信任在第二段说明它定义了一个新的“开放身份信任框架(OITF)”。OITF文件显示了当今信任框架中的漏洞,和问题人们如何传递个人身份信息可以确定他们的数据与可接受的技术保护,操作和法律保障,虽然政策制定者提出了一个结构化的角色,供应商,评估员,审计师,解析器和争执,可以肯定的是,所有参与者都以可信的方式。这看起来似乎过于官僚,但是考虑到联邦政府需要接受其调查结果,过程是一件好事。。

免得你认为这只是另一个协会或官僚talking heads寻求网络增长的加速,看到OITF模型的结论,作者解释数据乌托邦:“想象
,

OITF
模型
需要

和
身份
方面

所有
数字
通信
成为
依赖


新的
层


互联网。
社会

可能成为
依赖
这种


基础设施

集体
行动。
作者
希望

使

清楚

信任
框架

身份
信息
预示着


所以
重要


未来
信息
社会

他们
保证
广泛
审查,参与,并从

反馈


宽
表示
利益相关者的意见。””

你可以找到更多关于这个新交换 http://openidentityexchange。org。此外,谷歌发布了该公司在线安全博客上的公告: 联邦政府的支持联邦登录

09年12月,2009年

Twitter继续成熟,因为他们接受开发商

作为 推特成长从早期采用者的好奇心向成熟的主流现象,该公司正在经历一场万众期待的光头胎,成熟过程中,一个公司而提高后,一个重要的风险资本,价值在十亿美元,受人尊敬的招聘团队成员从硅谷巨头 雅虎!,, 谷歌脸谱网,和最近推出的新功能的平台,包括转发和列表。今天,在十分热络,, 萨瓦尔,Twitter的平台,推出更多的构建显示公司超越其摇摇欲坠的与开发商的关系(和正常运行时间),期待更多的公共更健壮的经验。。

在过去的两年里,我对这项服务的一些公开批评集中在公司与正常工作时间的斗争上,并与开发商缺乏透明度,经常是在Twitter来保持其产品的稳定工作,节流API访问或修改功能,经常没有警告。结果,在某些情况下,是激烈的,导致产品被推迟,取消了,或者只是呈现无效。。

11月28日2009年

Chris Messina密切关注网络的未来

网上有一些人,他们的工作我情不自禁地怀着极大的兴趣观看,就我所知他们是可见的人越多,在团队工作和不为人知的同事,集中他们的努力在推进网络。从 德威特克林顿,, 布雷特•斯拉特金,, Brad Fitzpatrick,, 克里斯·萨德,, 戴夫·维纳大卫。瑞克丹,对这样的人 杰森谢伦,, 克里斯Wetherell,, 凯文·马克,, 莉娅·库尔沃,, Paul Buchheit,, 布雷特·泰勒Chris Messina,名字两把,我可以相信这些人从事这些项目塑造我们传达和接受信息的方式。墨西拿,特别是,在上个月写了几个博客,有我们思考很多,可以肯定的说他一卷。。

克里斯,仅在11月,提出了一个 新microsyntax推特,预测 URL的死亡,并谈到如何“” 设计肠道”利用新的社交网络如何推动人民克服恐惧症和联系的人。。

一个众所周知的提倡开源,OAuth,背后的声音哪一个 我们讨论了周四,墨西拿有思维超出我们今天的历史和提出具体的想法,可以立即采取行动。这些标签在Twitter上随处可见的这些天,在几乎每一个科技活动和许多热门话题?克里斯 2007年8月提出了想法。。因此他可能会给大量的microsyntax认为更多的用途,他描述了在他的Twitter的提案,他建议新项目,包括“/“,”/通过”和“/ cc”。这些建议非常清晰和简洁,工作的人做他的家庭作业。。

克里斯的思想关注的URL也显著下降,随着我们越来越与预先确定的按钮和导航在我们的浏览器使用工作流。对我来说,url通常只是一次性访问之前扔进 我的RSS阅读器保管,或者他们成为后点击书签。但输入一个URL字符的字符的行为似乎是过时的。正如他所说,这是一个直觉,而不是一个由许多科学对我来说。。

在我看来,社交网络改变了整个过程的内容发现。而不是门户网站,我们依赖人类。我们的信任的朋友和专家给我们带来最好的内容在网络上直接给我们,通过 脸谱网,, 推特,, FriendFeed,甚至,旧的工具。。。电子邮件。我们是信任 人体过滤器最好选择从我们的RSS存储库和下游的手。我们 选择一些可信的最爱,并使它们相当于我们的雅虎!,甚至谷歌。。

克里斯在url的死亡描绘了一幅不太漂亮的,如果不受控制,一些强大的公司可以帮助漏斗的大多数用户预定的网站,手被他们——就像恐惧我们曾经占主导地位的门户。这可以作为我们毕业传统浏览器和链接模式,联网应用程序通过我们所请求的数据。他说,”我们都知道,互联网已经赢得了所有数据,但作为传输媒介与网络交互的通用接口吗?——好吧,战斗还刚刚开始。””

关于网络是不断变化的。我们选择的地方交流正在改变。我们认为提供价值变化的信息。我们的要求我们需要的数据变化的速度有多快。克里斯和我在第一段提到的很多人都是我们的第一道防线,试图设置标准和促进改变的世界,感觉从肠道和大脑。你可以找到克里斯在写作 http://factoryjoe。com/blog/或者在Twitter上 @chrismessina。我认为很多人读他的宗教,现在你们其余的人也该这么做了。。

11月26日,2009年

有迫在眉睫的争夺OAuth的继任者吗?吗?

OAuth协议,用在许多流行的Web站点和应用程序之间传递您的凭据网站不需要输入你的用户名和密码,包括 推特,可能是在一个技术团队的压力下代表 微软,, 谷歌雅虎!,人引入了竞争规范解释旨在成功OAuth,被称为 Web资源授权协议,或包装。。 寒莫拉赫吾伊兰,标准开发主管雅虎!!,帮助协调许多OAuth的贡献,最初的OAuth和创建了一个正式的规范标准,最近 批评此举,说,”通往地狱的路是善意的铺就,”增加自己的 建议OAuth 2。0,他希望在认证和授权之间更好地分开。。

今天的OAuth标准有其缺陷。在他2 Hammer-Lahav笔记。0提议OAuth本质上是“不可用的为移动设备或安装应用程序,也表明,OAuth”不充分支持大型提供商”。但是他说此举创建包装困惑开发人员的关注,和转移资源,称其为“只有一个插图的OAuth社区”。。

但他的意见,毫不奇怪,不是普遍接受。。 大卫。瑞克丹脸谱网,同样在OpenID和开放网络基金会的董事会,在评论的状态中,脸谱网不支持OAuth1。0,因为它仅仅是太重了,需要大规模增加HTTP请求,还补充说,其他开发人员找到OAuth”也很难正确地实现”。。

大卫是他最初的评论与IETF一篇邮件列表,你可以看到: Facebook,OAuth,和包装。请注意,他强调相信提出包装替代地图公司当前的身份验证过程,增加包装简化了开发社区的学习曲线。。

讨论,, 正在进行中,最终可能会分裂发展社区在坚持当前版本的OAuth 1之间。0,看包装作为一种替代方法,或者试图支持新的OAuth 2。0,寒莫拉赫吾所指定的。但是如果你想知道为什么Facebook Connect以一种方式行动,而Twitter OAuth以另一种方式行动,这是因为他们是完全不同的方法。如果这个讨论是任何迹象,一个可以持续的分歧,而不是一个单一的方式提供用户身份验证和权威网站和应用程序之间在网络上在未来。。

另一个观点在这个广泛的话题,看到杰西的文章: 未来没有登录按钮。同时,德威特克林顿的谷歌,关于FrimFIVEL,, 说,公开讨论”很好””。。

8月17日2009年

Twitter的网络上正在取得进展后10天的攻击

在一波最初的攻击浪潮使流行的微消息服务陷于停顿之后,以及许多其他的社交网站,8月7日,的 推特团队一直努力扭转局势,恢复访问服务的客户和开发人员near-normalcy。十天的攻击,他们还没有消失,根据Twitter的帖子,但它看起来像该公司可能已经转了个弯在处理分布式拒绝服务的额外的压力。。

公司的Twitter的一篇文章中开发讨论论坛题为“平台状态更新”今天下午四点半,Twitter的瑞安·萨维尔说:
”在过去的十天我们一直在处理很多压力在我们的网络和导致我们的伙伴被离线时间延长。这显然不是我们希望发生的平台和运维团队一直在努力工作在这段时间来解决我们的生态系统的需要,同时保护系统作为一个整体。我们今天取得一些大的进步在系统调优过程中,这一点应该允许我们的合作伙伴运营前最近一期开始。””
他补充说“系统仍在压力”,并要求开发人员可能会继续与他们有问题的工作和提供信息在他们的机器的IP地址什么访问Twitter API使用,他们使用的方法发出请求,和任何其他信息,包括数据作为颗粒作为他们的主机操作系统,浏览器,饼干和网络连接。。

瑞安的评论 随后在下午早些时候的注意亚历克斯·佩恩,公司的平台也领先,他还说,该公司将继续”抵御“的攻击,说没有开发者的细节(像赖安列出的那些)他们不能充分解决任何问题。。

虽然大多数Twitter用户不经历广泛的中断,我们看到一周半前,它仍然是不寻常的利用Twitter API的应用程序;特别是OAuth,看到失败。毫无疑问也有持续的攻击导致了失能白鲸的目击报告。(我遇到过一些我自己)Twitter发布 星期日公司博客的一个注意事项,并说他们是“努力解决它”。。

有时它诱人的戳在Twitter的斗争在此期间,但 8月7日,正如我所提到的当烦恼第一次出现,公司正在更明显和快速应对开发人员和提供状态,显示出成熟的迹象。他们的运营团队昼夜一直忙着寻找过去两周,他们将需要保持战斗,看来这场战斗可能会有一段时间了。。

07年2月,2009年

Twitter宣布OAuth的细节,提示在应用程序目录

杰西呆的保持N '活着(推特/FriendFeed)

在宣布今天Twitter开发者邮件列表,Matt Sanford开发人员在 推特一直领先的努力整合Twitter API使用OAuth,宣布新的OAuth将如何工作的细节。在该声明中,他发布了一个 预览新文档的OAuth的方法,开发人员如何使用示例Ruby on Rails应用程序集成,和集成开发人员需要知道什么。。

有趣的是,文档也暗示了其他计划在Twitter的未来。例如,桑福德建议用户将能够看到他们的应用程序访问和撤销访问。他还暗示了未来的目录内的应用程序和开发人员注册的机会API是一个目录的一部分。。

宣布这样一个目录和授权过程现在已经推测了相当一段时间。它被提到的一种可能性 当我和Robert Scoble访问Twitter大约一年前。所以看到Twitter的计划坚持朝着这条路,继续朝着这个目标至少可以说是受欢迎的消息。还在文档中提到的建议,基本认证Twitter API使用今天最终会被淘汰。。

计划发布Twitter OAuth API开发人员参与封闭测试”在下星期”,他们没有一个日期宣布将对公众开放。然而增加压力,更好的控制的应用程序运行在Twitter上你可以打赌Twitter现在首要任务在这个特定的问题。。

杰西在阅读更多保持N '活着。。

1月5日2009年

嘿,推特,这不仅仅是一个虫,这是一个应用程序

杰西呆的保持N '活着 (推特/FriendFeed)

毫无疑问,蠕虫传开的 推特是讨厌,一个巨大的问题。事实是,有人收集了你的用户名和密码,和你的许多账户现在僵尸,通过直接消息在朋友列表上滥发每一个朋友,把更多的毫无戒心的账户变成僵尸,像野火一样蔓延。。 路易已经谈到了蠕虫它在Twitter上出现了,情况的紧迫性和潜在影响OAuth和安全的微博。。

我建议纯文本密码可能是罪魁祸首——毕竟,任何应用程序,收集你的用户名和密码理论上可以使用这些密码开始这样的蠕虫,为了获得类似的银行账户密码和更多。这是最快的方式,说,单个用户试图积累朋友dm。我们已经看到一些被盗的帐号发送关于iphone垃圾邮件,所以会出现虫子开发者现在可以货币化,通过你的朋友。与此同时,我一直看到别人 批评的可能性OAuth可以避免这个问题。我想分享我的想法的原因。。

免责声明

首先,我前言这我的事实 安全专家。我 被开发软件,因为我是10(我现在31),并且有很多真实世界的经验来编写安全软件。我曾经在卫生机构工作,要求软件尊重你健康数据周围的隐私,与电子商务保护你的钱,和我写的api。我明白了如何保证软件的安全。我也有我自己的生意,我也要保护我的用户的数据。我也明白没有什么是完美的。当我安全没有唯一的焦点,我希望我至少可以做一些意义上的问题。。

首先,这是一个应用程序

让我们把事情讲清楚。现在,我可能是错的,但是所有证据似乎表明,这种“蠕虫”实际上是一个应用程序,或多个应用程序,世界各地的运行在多个服务器( IP范围还表明,过去同样的开发者瞄准了YouTube和Bebo。)。毕竟,唯一代表用户和其他方式登录DM别人是屏幕刷新微博,模拟用户实际通过Twitter登录。com接口。这是可能的,但是我会想象我们会看到Twitter很快实施某种形式的验证码慢下来。我们还没有见过这个最符合逻辑的结论是,有人写了一个应用程序,利用这一事实,你可以通过纯文本的用户名和密码登录。相同的应用程序正在使用这些用户名和密码,代表每一个妥协和编程方式登录用户和直接传递他们的朋友来收集更多的用户名和密码。。

目前,Twitter API使其完全有可能与您的用户名和密码登录的人代表你,以编程方式。从本质上讲,Twitter给了开发人员的关键,和所有的钥匙打开同一个锁。关闭这个的唯一方法是杀死锁,这将关闭所有的开发人员。这就是为什么OAuth的话题继续长大,开始,OAuth部队任何开发人员使用保护键或令牌来代表用户登录。开发人员从来没有用户的用户名或密码。Twitter用户自己保存自己的钥匙,而不必给开发者密钥的副本。。

但这并不那么简单。。

为什么他们说OAuth不会有固定的问题

如果Twitter OAuth实现,假设没有开发人员现在感觉你的用户名或密码和信息安全。仍然没有阻止用户使用这些令牌代表你的登录。从本质上讲,而开发人员无法通过Twitter屏幕刮你的数据记录你在这样一个关键,他们仍然可以使用API,就像这些当前网络钓鱼者可能做继续发送DMs和代表你的消息。OAuth令牌就像另一个用户名和密码从本质上讲,目的只是为了API使用。。

另一种批评他们给OAuth是它仍然没有停止钓鱼。当通过一个OAuth-enabled网站最终用户进行身份验证时,他们带回原始站点的页面上,如果他们没有登录,问他们登录,反过来,该网站将他们返回到第三方站点的OAuth标记可用于访问。很简单,对吧?好吧,这个问题(我只看到理论,但这绝对是可能的)是,任何第三方开发人员可以创建一个应用程序,将用户重定向回页面看起来就像原始网站(像Twitter。com,例如,并假装用户没有登录。这个网站可以收集毫无戒心的用户的用户名和密码,就像当前的钓鱼计划现在正在做的。可能还在收集用户名和密码,就像之前。。

人们总是忘记的优势

让我们忽略最后一段,只关注一个之前。尽管应用程序可以很容易地通过API,代表用户登录使用OAuth,网站如Twitter现在已经完全控制每一个应用程序运行在API。OAuth控件,允许API提供者像Twitter切断任何应用程序使用API。所以,假设Twitter建立某种手动批准过程类似于Facebook的( 我建议这个Ev和商业与去年Scoble在采访中我参加了(的文章),他们说他们正在)剔除粗略的应用程序,切断变得更容易出错的应用程序。他们现在有确切的应用程序发送这些DMs的记录,并能立即剪掉。目前,他们追逐的IP地址,并试图阻止各种IP范围,很难阻止和容易开关。。

回到这个问题

所以,让我们假设Twitter OAuth实现。我们现在有两种可能的场景:场景1,说网络钓鱼报名对API的应用程序(或购买应用程序像笨的),和发送DMs代表用户。(注意,网络钓鱼不能开始作为一个个体和收集用户名和密码在这网络钓鱼的方式在当前的场景中,因为他们无法发送纯文本的用户名和密码通过API)网络钓鱼得到用户的朋友通过OAuth,登录他收集了令牌发出DMs代表其他用户。Twitter的内部警报响的活动。推特关闭说网络钓鱼在几分钟内,只有少数人甚至看到蠕虫。。

场景2是更困难的,但是少激励网络钓鱼网站如Twitter。在这个场景中,网络钓鱼创建一个假的第三方应用程序,积累大量的追随者,并得到用户认为他们将Twitter登录,纯文本收集用户的用户名和密码。说网络钓鱼不能做任何通过API,因为它不允许纯文本的用户名和密码。所有他们能做的是Twitter屏幕刷新,代表用户登录,和这种方式。他们也积累了一个像样的大小。。

首先,让我们面对现实吧,没有大量的未公开的信息网络钓鱼可以收集在Twitter等网站上,除了他们的用户名和密码,也可以用于其他网站像银行网站。我真的认为这些钓鱼者更感兴趣的是垃圾邮件你,想快速赚钱的毫无戒心的垃圾邮件发送给他们的朋友(如iPhone上面的例子),销售数据垃圾邮件发送者我肯定是大钱(至少1美元,200年,根据Twtply)的销售。第二,Twitter可以很容易地实现一个验证码系统在这种情况下,至少,这意味着他们可以减缓网络钓鱼或垃圾信息散布者。在这一点上,如果网络钓鱼或垃圾信息散布者仍在勤奋地度过,他们有更多的控制系统,然后他们可以玩IP封锁游戏。让我们面对现实吧——尽管这不是一个银行的网站,用户名和密码只有去微薄的1美元,200年从我们所知道的,所以大多数垃圾邮件发送者应该在那时候放弃。少得多的一个问题,和更容易的问题处理比Twitter是现在看到的。。

安全的目的是难度

正如我前面说的,没有一个完美的计划安全计划,但是越难行凶者通过一个系统,该系统是更安全的。目前,Twitter和那些比之间没有障碍可能会滥用你的用户名和密码,除了你。正如我前面说的,Twitter为每个用户只有一个锁,和每个开发人员与你分享你的信息有相同的锁定你的关键。。

然而,尽管继续钓鱼的风险OAUTH姿势,拉克兰哈代表明结束时他的作品 在这里,这仍然是一个正确方向的一步,我认为它会阻碍这个特殊的蠕虫。OAuth会给Twitter的能力撤销键冒犯钓鱼者、使他们能够关闭虫当它的发生而笑。毕竟,这不仅仅是一条虫子,这是一个应用程序,使用该API,像任何其他开发人员,但在这种情况下传播恶意网站。我想说,Twitter停止踢脚板围绕这个问题,停止假装奥特不会解决这个问题,实现的东西,快。。

杰西在阅读更多保持N '活着。。

一月04,2009年

Twitter OAuth目标下滑之际,增加安全压力

上周末,不止一个漏洞,发送的方式 推特直接的信息功能,使得它在网络上。在Twitter的增长仍在继续,微博服务看起来为骗子,垃圾邮件发送者是一个新的领域,之前包含传统的电子邮件。随着诡计获得动量,也会呼吁Twitter来实现 OAuth,开放的协议,允许API的安全授权,已成为流行的今天在许多Web工具使用。但是Twitter员工的帖子在服务的开发团队,在网站上和自己的通知,显示一个路线图,虽然他们也尽力转移criticsm通过分离的必要性OAuth从周末的事件。。


一个Twitter网络钓鱼的一个例子。。

Twitter的成功已经见过风潮正在开发的应用程序,要求用户输入用户名和密码的第三方网站。鉴于Twitter OAuth支持的缺乏,Twitter用户已经习惯于发布数据时问,在罕见的情况下,一个网站被发现恶意,它迫使他们再次更改密码来保护自己的帐户。。

OAuth网站说明了项目的开发,背后的原因说:”如果您在您的用户上存储受保护的数据,他们不应该在网络上传播他们的密码来获取信息。””

周末的活动以模拟Twitter登录页面为特色,用户在哪里提示输入他们的凭证。(见: CNet: Twitter网络钓鱼诈骗可能蔓延),而这个特定的攻击不会OAuth,已经找到了解决办法而是由用户登录仅仅关注他们,你可以看到Twitter对当前进程的态度。。

亚历克斯·佩恩领先的开发商Twitter周六告诉一个用户: ”马上,你不能看到哪些应用程序正在使用你的请求。您可以更改密码,虽然。””,后来告诉另一个用户,, ”我们试图阻止对点击链接。””非常基本的东西。。

当被追问是否Twitter OAuth实现,和减少用户的增长过于安逸,到处张贴他们的密码,亚历克斯说,”OAuth不是灵丹妙药反对钓鱼和其他网络安全问题。我们仍然支持它,”后,回响着奥特遗址说:”一个主要好处是,OAuth限制银行的业务范围,可以用用户的凭证,”同时链接到从2008年4月的一篇文章显示如何钓鱼诈骗OAuth无法停止。看到的: 钓鱼傻瓜?吗?

所以,我们会通过添加OAuth钓鱼问题将无法解决,但是我们看到越来越多的应用程序获取你的密码。随着新年的到来,twp设法让许多密码,然后当天售出。(见: Scobleizer:Twitter垃圾邮件,有效还是白痴?吗?)

亚历克斯提到Twitter OAuth支持。但当吗?吗?

在Twitter开发讨论论坛,, 你可以看到目标继续。。
亚历克斯,去年11月24日,写道:“我们正在等待我们的用户体验团队把最后一个测试版的OAuth支持。它有错误,可以肯定的是,但我们应该很快。””
11月26日,在要求日期后,他说,”我不知道我们的用户体验团队的整个计划,我不能。我想说不到一个月的时间接近一个星期到目前为止,但请不要抱着我。””
12月8日,亚历克斯给了更具体的时间:“它不会被用于测试在本周,但应该在月底前可用。我肯定会鼓励你不要发射,不过,这将是一个β。””
从第一个评论,现在一个多月在更多的开发人员的压力,亚历克斯说API的下一个主要版本只有OAuth.但是偏转的一些批评,指责其他服务尚未投入了OAuth潮流。。

今天下午,1月4日,亚历克斯说:
”当然,一旦我们提供OAuth,这将是很高兴见到同一个社区的压力应用到我们把像亚马逊这样的公司。亚马逊。com iPhone应用程序收集我的用户名和密码,这个账户实际上与我的信用卡信息有关。博客对他们的反模式在哪里?””
现在,毫无疑问我不安全专家。别忘了,11月12日,我曾写道,, Twitterank可以有我的密码,没有问题问,和亚历克斯似乎感觉其他非专家的应变,像我一样,推动团队更健壮。他 今晚在推特上评论道,”没有用,web的人通常有0 /加密安全教育,”一桶我毫无疑问。。

需求的风潮在Twitter上改善其安全措施,尽快赶到OAuth无疑在本周的壮举之后达到了一个高潮,这些壮举既可以通过该项目解决,也可以仅仅是钓鱼诈骗。但它看起来像Twitter开发者的信心已经动摇,所以许多承诺,最后期限还在继续。。

12月10日2008年

五种方式可以拥抱OpenID

莫娜野村的像素的位(FriendFeed/推特)

试着学习 OpenIDupteenth次我结束了我开始的地方:困惑。我伸手到社区帮助和收到巨大的反馈,帮助我更好地理解什么是OpenID。人离开了深思熟虑的,全面的评论如何实际使用OpenID和某人离开一步一步的方向。这让我意识到:OpenID仍然与普通用户无关。。

然而,讨论了 FriendFeed和我的 个人博客开了一条大(理性的)交流思想,这让我想到 如何OpenID可以与我们有关。。

  • 验证需要简单
    除了技术,验证,签约,声称,无论什么正确”术语,有一件事是明确的:需要简单的步骤。马上,需要很多步骤的过程是一个噩梦。用户应该能够去OpenID提供者站点,最多一步两步,可以验证。。
  • 电子邮件提供商需要参与进来
    与密码存储经理常态,的网址登录信息,理论上不应该是一个负担。这就是存在的问题:在理论上。实际上,非技术用户吓倒我使用其他用户名,电子邮件,或处理(昵称)登录。由于用户名和处理,没有网址,很难使用OpenID登录,,Gmail,,Hotmail,,雅虎加入这项运动是完全有意义的。。
  • 与消费者合作网站
    一个词:激励。想象一下,如果OpenID被接受亚马逊,,易趣,,贝宝和金融机构。为什么不是每个人都使用OpenID ?吗?
  • 更新网站,维基和清晰的指示。。我不知道登录网站提供者省略了验证过程,并使用OpenID登录没有验证是可能的,是吗?这些信息不是现成的OpenID网站,为什么?或者为什么那不是维基上吗?几乎每一个上网的人可以在一个编辑一个Wiki。有人会更新OpenID的Wiki页面,好吗?吗?
  • 创造需求
    我丢失的东西或者目前还不清楚为什么OpenID是如此的重要,大部分是由于站点上的所有技术术语。。OpenID/OAuth,隐私,拥有信息,分散,集中,以用户为中心,SSL,分析,的身份,和其他的东西(因为缺少更好的术语)-如果用英语重写,任何人都能理解,那将会很有帮助。。
如果OpenID实现至少三个以上五个,甚至我的母亲能够理解和使用OpenID。你是运动的一部分吗?如果不是这样,什么会让你使用OpenID ?甚至你关心OpenID ?吗?

阅读更多的蒙娜野村像素的位