Android

Vermeiden TwitViewer Phishing: Verwenden Sie OAuth-Friendly Apps

DIMINI – Wir unterstützen Sie dabei, den Diabetes zu vermeiden!

DIMINI – Wir unterstützen Sie dabei, den Diabetes zu vermeiden!
Anonim

Es kam am frühen Morgen auf meinen Twitter-Feed, ein Meer von Nutzern, die alle die gleiche Nachricht sendeten: "Willst du wissen, wer dich auf Twitter verfolgt?": //TwitViewer.net. "

Die Website, deren Domain heute über einen Proxy-Server in Arizona registriert wurde, verspricht eine galerieähnliche Darstellung der letzten 200 Personen, die auf Ihre Twitter-Seite kamen. Die Kosten für diesen Service? Nichts, außer Ihrem Twitter Benutzernamen und Passwort. Der Fang? Sie haben Ihre Anmeldeinformationen für die Twitter-Authentifizierung einfach auf einer Website aufgegeben, von der Sie nichts wissen. Wenn Sie diesen Punkt bestätigen, sendet die Site automatisch die oben genannte Nachricht über Ihren Twitter-Account ohne Erlaubnis und führt Sie automatisch zu den Twitter-Accounts der zufälligen Fotos, auf die Sie klicken - Personen, von denen Sie glauben, dass sie Ihr Konto besucht haben

[Weiterführende Literatur: Die besten TV-Streaming-Dienste]

Twitter selbst empfiehlt nun, dass sich Benutzer, die sich für den "Service" angemeldet haben, ihre Passwörter ändern. Aber es ist nicht so, dass der vorgeschlagene Betrug in erster Linie unvermeidlich war. In der Tat gibt es zwei große Barrieren zwischen Ihnen und jeder betrügerischen Seite auf Twitter: Ihr Gehirn und OAuth.

Es ist eine kleine Hintergrundrecherche wert, bevor Sie blind Ihre primären Zugangsdaten zu einem Twitter-Themen-Internet-Dienst (oder irgendetwas im Internet, für diese Angelegenheit). Ist die Site seriös? Deine Bauchgefühle sind vielleicht genauer als du zuerst glaubst. Ist das Angebot der Seite sogar physisch möglich? Ich kann mir nicht vorstellen, dass eine Website eines Drittanbieters, die nur Ihren Twitter-Benutzernamen und Ihr Passwort verwendet, andere Twitter-Nutzer verfolgen kann, die auf Ihre Twitter-Seite geklickt haben.

Dies ist ein Authentifizierungsprotokoll für OAuth für Desktop- und Web-Anwendungen, die Ihre Anmeldedaten vor Dritten schützen sollen. Anwendungen, die OAuth unterstützen, fragen Sie nicht direkt nach Ihrem Benutzernamen oder Kennwort. Stattdessen senden sie eine Anfrage an Twitter und bitten sie um Erlaubnis, auf Ihr Konto zuzugreifen.

Anstatt sich bei einer dritten Partei anzumelden, melden Sie sich wie gewohnt über Ihren Twitter-Server bei Ihrem Twitter-Account an. Der eigentliche Handshake für Berechtigungen findet über Twitter statt. Sobald Sie der Anwendung Zugriff gewährt haben, um etwas zu tun, generiert Twitter einen Zugriffsschlüssel für die App, der basierend auf unterschiedlichen Zugriffs- oder Zeitniveaus konfiguriert werden kann. Sie steuern den Genehmigungsprozess und die Bedingungen, und Sie können sogar nachträglich die Berechtigungen einer Anwendung entfernen.

Nicht alle Desktop- und Webanwendungen unterstützen derzeit OAuth, aber es ist eine weit sicherere Methode, Dritten Zugriff auf Ihre Anwendungen zu gewähren Konto, als einfach Ihren Benutzernamen und Ihr Passwort zu senden. Wenn Sie Letzteres tun müssen, stellen Sie sicher, dass Sie der Website implizit vertrauen, dass diese Informationen - und Ihr Konto - vertraulich sind. Die TwitViewer-Situation betrifft sogar einige der Net-versierten Leute auf Twitter: Lass es nicht passieren!

[Foto mit freundlicher Genehmigung Mashable]

Update 12:44 PST: TwitViewer.net ist jetzt runter für die Zählung!