Vermeiden TwitViewer Phishing: Die Verwendung Von OAuth-Freundliche Apps
Die Website, deren domain registriert wurde heute durch ein Arizona-proxy-Dienst, verspricht eine Foto-Galerie-wie z.B. das anzeigen der letzten 200 Leute gekommen sind, um Ihre Twitter-Seite. Die Kosten für diesen service? Nichts, außer für Ihren Twitter-Benutzernamen und Passwort. Die fangen? Sie gab nur Ihre Twitter-Anmeldeinformationen für die Authentifizierung an einer Website, die Sie wissen nichts über. Zum Nachweis dieser Punkt, die Website sendet automatisch den oben erwähnten Nachricht über Ihren Twitter-account sans-Berechtigung und auto-Sie folgt den Twitter-accounts von jedem der zufällig Fotos, die Sie klicken Sie auf-Menschen, die Sie zu der Annahme geführt, besucht Ihr Konto.
Twitter selbst empfiehlt jetzt , dass Benutzer, die sich angemeldet für die "service" ändern Sie Ihre Passwörter. Aber es ist nicht wie hier vorgeschlagen, Betrug war unvermeidlich in den ersten Platz. In der Tat, es gibt zwei große Hindernisse zwischen Ihnen und dem scamming Website auf Twitter: Ihr Gehirn und OAuth.
Es lohnt sich ein wenig recherche, bevor Sie blind werfen Weg Ihre primären Anmeldeinformationen zu jedem Twitter-Themen-Internet-service (oder alles auf dem Internet, für diese Angelegenheit). Die Website look legitim? Ihr Bauchgefühl könnte genauer sein, als Sie zuerst denken. Ist das, was die Website bietet sogar physisch möglich? Ich kann nicht denken, der Art und Weise, dass eine Drittanbieter-Website, nur mit Ihren Twitter-login und Passwort, wäre in der Lage zu verfolgen, andere Twitter-user, die geklickt haben auf Ihrer Twitter-Seite.
Wie für OAuth, dies ist ein Authentifizierungs-Protokoll für desktop-und Web-Anwendungen, die entworfen, um halten Sie Ihre Zugangsdaten sicher vor Dritten. Anwendungen, die Unterstützung von OAuth Fragen Sie nicht nach Ihrem Benutzernamen und Ihrem Passwort direkt. Stattdessen schicken Sie eine Anfrage an Twitter und Fragen, für die Erlaubnis auf Ihr Konto zugreifen.
Anstelle der Protokollierung in eine Dritte Partei, um sich mit diesem Antrag melden Sie sich in Ihrem Twitter-account über Twitter mit vertrauenswürdigen Servern, wie Sie normalerweise würden. Die eigentliche handshake für Berechtigungen erfolgt über Twitter. Sobald Sie gegeben haben, den Zugriff auf Anwendungen zu tun, was auch immer, Twitter generiert ein access-key für die app kann so konfiguriert werden, basierend auf den unterschiedlichen Ebenen des Zugriffs oder der Zeit. Sie Steuern die Genehmigungsverfahren und-Bedingungen, und Sie können sogar entfernen einer Anwendung die Berechtigungen nach-der-Tatsache.
Nicht alle desktop-und Web-Anwendungen unterstützen OAuth, aber es ist eine weitaus sicherere Methode zu geben, Dritten Zugang zu Ihrem Konto, als einfach nur das senden über Ihren Benutzernamen und Passwort ein. Wenn Sie letzteres tun, stellen Sie sicher, dass Sie implizit Vertrauen in die Website zu halten, diese Informationen-und Ihr Konto--im Vertrauen. Die TwitViewer situation betroffen, auch einige die mehr Netto-versierte folk auf Twitter: lass es nicht geschehen für Sie!
Autor: Keylogger.Org Team