OpenID Connect & OAuth 2.0 – Security Best Practices - Dominick Baier - NDC Oslo 2020
A venit peste feed-ul meu de Twitter în dimineața devreme, o mare de utilizatori, toți trimițând același mesaj: "Vrei să știi cine te urmărește pe Twitter?": //TwitViewer.net. "
Site-ul, al cărui domeniu a fost înregistrat astăzi printr-un serviciu proxy din Arizona, promite o expunere de tip galerie foto a ultimilor 200 de persoane care au venit pe pagina ta de Twitter. Costul pentru acest serviciu? Nimic, cu excepția numelui de utilizator și a parolei Twitter. Captura? Tocmai ați renunțat la acreditările de autentificare Twitter unui site despre care nu știți nimic. Prin acest punct, site-ul trimite automat mesajul menționat mai sus prin permisiunea dvs. de sondaj de sansă și vă urmărește automat conturile Twitter ale oricăror fotografii alese pe care faceți clic pe - persoane pe care ați crezut că le-ați vizitat.
[Citește mai departe: cele mai bune servicii de streaming TV]Twitterul însuși recomandă acum ca utilizatorii care s-au înscris pentru "serviciul" să-și schimbe parolele. Dar nu este ca această înșelăciune sugerată a fost inevitabilă în primul rând. De fapt, există două mari bariere între tine și orice site de scamming pe Twitter: creierul tău și OAuth.
Merită să faci un mic studiu de fundal înainte de a-ți arunca orbește acreditările primare de conectare la orice serviciu pe Internet cu tematică Twitter nimic pe internet, pentru asta). Site-ul arată legitim? Sentimentele tale intestinale ar putea fi mai exacte decât crezi prima dată. Este ceea ce oferă site-ul chiar fizic posibil? Nu mă pot gândi că un site terț, folosind doar numele de utilizator și parola Twitter, ar putea să urmărească și alți utilizatori Twitter care au făcut clic pe pagina dvs. de pe Twitter
În ceea ce privește OAuth, acesta este un protocol de autentificare pentru aplicațiile desktop și Web care sunt concepute astfel încât să vă păstrați acreditările de autentificare de la terțe părți. Aplicațiile care acceptă OAuth nu vă solicită numele de utilizator sau parola direct. În schimb, ei trimit o cerere către Twitter și o solicită permisiunea de a vă accesa contul.
În loc să vă conectați la o terță parte pentru a face față acestei solicitări, vă conectați la contul dvs. Twitter prin serverele de încredere Twitter așa cum ați proceda normal. Actualul handshake pentru permisiuni are loc prin Twitter. Odată ce ați dat aplicației accesul la orice, Twitter generează o cheie de acces pentru aplicația care poate fi configurată pe baza diferitelor niveluri de acces sau de timp. Controlezi procesul de aprobare și termenii și chiar poți elimina permisiunile unei aplicații ulterioare.
Nu toate aplicațiile desktop și Web acceptă în prezent OAuth, dar este o metodă mult mai sigură de a oferi accesul terților la decât să trimiteți pur și simplu numele de utilizator și parola. Dacă trebuie să faceți acest lucru din urmă, asigurați-vă că implicit aveți încredere în site-ul dvs. pentru a păstra confidențial aceste informații - și contul dvs. -. Situația TwitViewer a afectat chiar și pe cei mai mulți oameni Net-savvy pe Twitter: Nu vă lăsa să vi se întâmple!
Actualizare 12:44 PST:
TwitViewer.net este acum jos pentru numărătoarea!
Prin colaborarea cu dezvoltatorii, Google poate încerca să împingă mai multe aplicații în netbook-uri, laptop-uri low-cost concepute pentru a rula aplicații de bază pentru surfing Web și e-mail, a declarat David Liu, fondator și președinte al Good OS, la conferința Linuxworld din San Francisco. bazate pe aplicații precum Google Docs și foi de calcul și gadget-uri Google, mini-aplicații care stau pe desktop pentru a efectua funcții desktop reduse. Deși în perioada lor de început, se așteaptă ca e
Google și Good au colaborat la preîncărcarea mini-aplicațiilor Google Gadget pe GOS Gadgets 3, distribuția Linux a lui Good, a spus Liu. Mini-aplicațiile permit utilizatorilor să joace jocuri și să verifice aplicațiile de sistem cum ar fi puterea bateriei și puterea unui semnal de rețea fără fir.
Vulnerabilitatea ar fi permis unui potențial atacator să fure fragmente sensibile de informații cunoscute sub numele de jetoane de acces OAuth. Facebook utilizează protocolul OAuth pentru a permite aplicațiilor de la terțe părți să acceseze conturile de utilizator după ce utilizatorii le aprobă. Fiecare aplicație are un token de acces unic pentru fiecare cont de utilizator.
Asigurați-vă, evitați escrocherile online și știți când să aveți încredere într-un site web! Protejați-vă, evitați înșelătoriile online și știți când să aveți încredere într-un site web!
World Wide Web are milioane de site-uri - atât de multe încât o singură viață nu este suficientă pentru a le vizita pe toate! Este o natură umană că orice invenție sau descoperire a fost folosită în beneficiul omenirii și, de asemenea, a fost folosită greșit! Acest lucru este valabil și pentru lumea WWW! Dacă există servicii cum ar fi motoarele de căutare, comunitățile sociale, e-mailurile etc. pentru a vă ajuta, atunci există și spamuri, descărcări de articole de tip warez, partajarea ilegală,