Vyhněte se službě TwitViewer Phishing: Použijte aplikace OAuth

Na ranní ráno se objevil můj Twitter krmení, moře uživatelů, které všechny posílaly stejné poselství: "Chceš vědět, kdo vás pronásleduje na Twitteru?": //TwitViewer.net. "

Stránka, jejíž doména byla dnes zaregistrována prostřednictvím služby proxy v Arizoně, slibuje zobrazování posledních 200 lidí, které se dostaly na vaši Twitter stránku. Cena za tuto službu? Nic, kromě vašeho uživatelského jména a hesla pro Twitter. Úlovek? Právě jste se vzdali svých ověřovacích pověření Twitteru na stránky, o kterých nic nevíte. Tímto postupem prokážete, že tato stránka automaticky odešle výše zmíněnou zprávu prostřednictvím svolení vašeho Twitter účtu bez povolení a automaticky vás provede na účtech Twitter libovolné z náhodných fotografií, na které kliknete - na uživatele, kterým jste se domnívali, že jste navštívili váš účet.

[Další čtení: Nejlepší televizní vysílání]

Twitter sám nyní doporučuje, aby uživatelé, kteří se přihlásili ke službě, změnili hesla. Ale není to tak, jako by se tento podvod byl v první řadě nevyhnutelný. Ve skutečnosti existují dvě velké bariéry mezi vámi a jakýmkoli scammingovým místem na Twitteru: Váš mozek a OAuth.

Stojí za to udělat malý výzkum na pozadí, než slepě odhodíte své primární přihlašovací údaje k libovolné internetové službě založené na Twitteru (nebo cokoli na internetu). Má stránka vypadat legitimní? Vaše pocity střeva mohou být přesnější, než si myslíte. Je to, co nabídne i fyzicky možné? Nemohu přemýšlet o tom, že stránky třetích stran, které používají pouze vaše přihlašovací jméno a heslo pro Twitter, budou moci sledovat další uživatele Twitter, kteří klikli na vašem Twitteru.

Pokud jde o OAuth, jedná se o ověřovací protokol pro stolní a webové aplikace, které jsou navrženy tak, aby vaše přihlašovací údaje byly zachovány od třetích stran. Aplikace, které podporují službu OAuth, vás přímo nepožádají o vaše uživatelské jméno nebo heslo. Místo toho pošlou žádost Twitteru a požádá ji o povolení k přístupu k vašemu účtu.

Místo toho, abyste se přihlásili do třetí strany, aby se s touto žádostí zabývali, přihlašujete se ke svému účtu Twitter prostřednictvím důvěryhodných serverů Twitter, jako obvykle. Vlastní handshake oprávnění proběhne prostřednictvím služby Twitter. Jakmile dáte aplikaci přístup k tomu, co dělá, Twitter vytváří přístupový klíč pro aplikaci, která může být nakonfigurována na základě různých úrovní přístupu nebo času. Řídíte proces schvalování a termíny a dokonce můžete dokonce odebrat oprávnění aplikace.

Ne všechny desktopové a webové aplikace v současné době podporují službu OAuth, ale je to mnohem bezpečnější metoda, která umožňuje přístup třetím stranám k vaší než jednoduše odeslat své uživatelské jméno a heslo. Pokud to musíte provést, ujistěte se, že implicitně důvěřujete tomu, aby tyto informace - a váš účet - byly uchovávány důvěrně. Situace TwitViewer se týkala i některých z více Net-důvtipných lidí na Twitteru: Nenechte se tomu stát!

[Photo courtesy Mashable]

Aktualizace 12:44 PST: TwitViewer.net je nyní dolů za počet!